Reverse Engineering – Definition und Nutzen

Wenn auch nur selten, aber sicherlich jeder hat schon einmal von Reverse Engineering gehört, ob im Bereich Wirtschaftsspionage oder Cybersicherheit. Was macht dieses Feld aus und was verstehen wir unter Reverse Engineering?

Was ist Reverse Engineering?

Unter Reverse Engineering ist die Untersuchung von Systemen oder Produkten, um die einzelnen Bestandteile festzustellen und ggf. zu extrahieren. Somit wird aus dem fertigen Produkt wieder eine Blaupause. Überträgt man dieses Konzept auf den Bereich der Informationstechnik oder auch Cybersicherheit, so gibt es verschiedene Arten wie Reverse Engineering genutzt wird.

Wozu wird Reverse Engineering genutzt?

Die Anwendungsbereiche von Reverse Engineering erstrecken sich von Hacking bis hin zur Wirtschaftsspionage, wobei die Tools und Methoden auch hilfreich bei der Optimierung von Systemen und Programmen sind.

• Hacking
  Hacker beispielsweise bedienen sich der Werkezuge des Reverse Engineering, um Schwachstellen in Programmen oder ähnlichem zu finden und so entweder Zugang zu Systemen zu erlangen oder einen Angriff vorzubereiten. Dabei werden zumeist Programme insoweit analysiert, dass Angreifern die Möglichkeit gegeben wird, Fehler im Programm für ihre Zwecke auszunutzen. Dies kann eine Fehlkonfiguration im System oder einer Anwendung sein, die es einem Angreifer ermöglicht sich durch die Eingabe eines Worte mit erhöhten Rechten auf genanntem System oder einer Anwendung anzumelden.
• Wirtschaftsspionage
  In der Informationstechnik sowie der Cybersicherheit findet Reverse Engineering unterschiedliche Anwendungsgebiete. Teilweise kommt Reverse Engineering zum Einsatz um Programme in ihre Einzelteile zu zerlegen und so die Funktionalität von Programmen herauszufinden. Dies geschieht vorranig vor dem Hintergrund der Wirtschaftsspionage, um Konkurrenzprodukte zu analysieren, die Funktionalität zu verstehen und dann ein eigenes Produkt mit derselben Funktionalität auf den Markt zu bringen.
• Optimierung
  Dies wird besonders bei Open-Source-Projekten eingesetzt, um die Entwicklung eines Programmes zu beschleunigen und die Sicherheit des Programmes zu erhöhen. Dies spielt vorrangig eine Rolle im Bereich der Cybersicherheit, wo der Use-Case des Reverse Engineering ist, die Sicherheit der Daten, auch vor dem Gesichtspunkt des Datenschutzes zu gewährleisten. Im Bereich der Informationstechnik wird Reverse Engineering jedoch nicht ausschließlich zur Analyse der Produkte anderer Unternehmen angewandt, um daraus einen wirtschaftlichen Vorteil zu erlangen, es wird zum Großteil auch dazu genutzt, um beispielsweise Programme oder Systeme besser zu verstehen, Schwachstellen aufzudecken und somit die Sicherheit des Gesamtproduktes zu erhöhen.

Auch wenn Reverse Engineering in der Wirtschaftsspionage Anwendung findet, so überwiegen die Vorteile, welche Reverse Engineering von Systemen und Software im Bereich der Informationstechnik mit sich bringt. So zeigen einige Case Studies, wie Reverse Engineering den Überblick über bereits veraltete Produkte ermöglicht, diese genauer zu dokumentieren, anzupassen und so Produkte, welche nicht einheitlich entwickelt und gepflegt wurden, aufzuwerten.

Reverse Engineering und IT-Forensik

Betrachten wir Reverse Engineering im Bereich der Cybersicherheit – genauer der digitalen Forensik und Incident Response – so erhält Reverse Engineering einen besonderen Mehrwert, denn es wird vor allem nach sowie während IT-forensischer Untersuchungen dazu verwendet, IT-Sicherheitsvorfälle besser zu verstehen und möglicherweise sogar aufzuklären. Dabei wird Reverse Engineering vorrangig dazu genutzt, Malware oder andere schadhafte Programme zu verstehen, ihre Funktionalität auszuwerten und so die Untersuchungen voranzutreiben. Dies kann im Rahmen einer IT-forensischen Untersuchung oder auch während eines Incident Response dazu beitragen, die IT-Forensiker auf die richtige Spur zu leiten, um so einerseits die passenden Artefakte zu sichern oder herauszufinden, wie die Angreifer vorgegangen sind. Hierbei sollte aber beachtet werden, dass die Auswertung schadhafter Programme zwar schnell ablaufen kann, dies aber grundsätzlich nicht der Fall ist, dabei gibt es verschiedene Verfahren wie Reverse Engineering von schadhaften Programmen durchgeführt werden kann. Je tiefergehender dabei die Analyse durchgeführt werden soll, desto länger kann es dauern, bis die Ergebnisse ausgewertet wurden.

Wie Lenny Zeltser in seinem Blog beschreibt, gibt es 4 Stufen der Malware Analyse,

1. beginnend mit der vollautomatisierten Auswertung,
2. über die statische Auswertung der Eigenschaften,
3. die interaktive Verhaltensanalyse und
4. die manuelle Codeanalyse.

Je nach Stufe der Analyse kann der Vorgang länger dauern und sollte abgewogen werden, ob es sich bei der geplanten Analyse, um ein sinnvolles Vorgehen für die aktuelle Situation handelt, denn häufig ist das Analysieren von Schadsoftware nicht nur mit enormem Zeitaufwand, sondern auch mit erhöhten Kosten verbunden.

Rückwärts gehen, um voranzukommen!

Im Bereich der Softwareentwicklung oder auch der Cybersicherheit ist Reverse Engineering oft der richtige Weg. Dies ist besonders zu erkennen am Beispiel von Malware, denn hier versuchen Reverse-Engineer-Analysten schadhafte Programme in ihre Einzelteile zu zerlegen, um dadurch Aufschluss darüber zu erhalten, wie ein Angreifer oder eine Gruppe vorgegangen sind und dadurch entweder ein System verschlüsselt, Daten geklaut oder aber ein Unternehmen außer Betrieb gesetzt haben.

Lässt sich ein Programm durch die verschiedenen Methoden des Reverse Engineering replizieren, um so die Logik des Programmes zu erkennen, bietet dies nicht nur die Möglichkeit vorbeugend zu reagieren, sondern sogar das Geschehene rückgängig zu machen. Dies ist aber nicht immer möglich.

Wenn Produkte verbessert und Sicherheitslücken geschlossen werden, dann ist Reverse Engineering ein Mehrwert, der nicht zu unterschätzen ist.