Statisches Reverse Engineering lässt sich mit im Code versteckten Orakeln, die als Köder dienen, aufdecken. Jeder, der das Orakel findet, möchte wissen, ob jemand anderer es bereits gelöst hat und sucht daraufhin im Ineternet oder probiert im Code gefundene URL und Zugangsdaten aus. Dies hinterlässt allerdings Spuren. Der Sicherheitsforscher Collin Mulliner gab auf der Security-Konferenz CanSecWest in Vancouver einen Überblick über diese und andere Methoden, statisches Reverse Engineering aufzudecken.

Das Orakel kann beispielsweise als einzigartiger String, als URL oder als hardkodierte Zugangsdaten für einen Server ausgestaltet sein. Idealerweise sind diese Informationen Teil eines sowieso absichtlich Veränderten Codes und somit erst nach De-Obfuskation sichtbar.

Im Idealfall sollten sich die Orakel möglichst wenig vom übrigen Code unterscheiden. Mehrere im Code verstreute Orakel können Aufschluss darüber geben, wie weit der Reverse Engineer schon gekommen ist und es lässt sich gegebenfalls auch erkennen, welchen Zweck er verfolgt. Dies kann unter anderem für spätere Gerichtsverfahren hilfreich sein, um eine Ausrede des Kontrahenten zu widerlegen.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE