Donnerstag, 28. März 2024

Archiv


Mit "guten" Viren gegen schlechte Netze

IT-Sicherheit.- Heutige Computerviren sind kleinen Robotern ähnlich, eben "Bots", die zum Beispiel Spam-Mails versenden oder Passwörter ausschnüffeln. Ein Forscher aus Montréal hat nun eine neue Methode entwickelt, um Botnetze zu studieren und einzugrenzen.

Von Maximilian Schönherr | 29.01.2011
    Botnetze leben im Internet und bestehen aus mehreren hundert bis einigen zigtausend infizierten PCs. Um sie zu studieren, dürfen die Informatiker – wie ihre Kollegen aus der Biologie – nicht einfach Viren-Experimente in freier Natur durchführen, sondern sie greifen in der Regel auf Simulationen zurück. Mit statistischen Methoden und mithilfe der mathematischen Theorie der Graphen bauen sie Computerprogramme, die die Interaktion zwischen den Bots und ihren Betreibern simulieren. José Fernandez, Professor an der Polytechnischen Hochschule in Montréal, ging nun einen anderen, realistischeren Weg.

    "Eine Computersimulation beruht auf einem abstrakten mathematischen Modell. Leider sind Botnetze zu komplex für die Modellierung. Sowohl die Software, aus der das Botnetz besteht, als auch die Umgebung, in dem das Botnetz arbeitet, nämlich das Internet, sind unberechenbares Terrain. Um hier realistischere Ergebnisse als in der Simulation zu erzielen, haben wir eine Emulation angesetzt."

    Eine Emulation ist quasi ein Trockenversuch. In seinem Institut standen Fernandez und seinen Kollegen 100 Rechner zur Verfügung – viel zu wenige. Also installierten sie auf jedem einzelnen Rechner etwa 30 Windows Betriebssysteme. All diese virtuellen Maschinen zusammengenommen kamen sie dann auf 3000.

    "Diese Emulation ist zwar die vermutlich realistischste, die es bisher gab, aber dennoch ist sie natürlich keine HiFi-Repräsentation der realen Botnetz-Welt."

    Zunächst infizierten die Informatiker das Labor-Botnetz mit dem Waledac-Wurm. Er ist mit zwei Jahren schon etwas alt, aber immer noch für den Versand mehrerer Millionen Spam-Mails täglich aus den Computern nichts ahnender Menschen verantwortlich. Anschließend vergifteten sie das System, indem sie unauffällige Bots mit eigenem Code einschleusten. Man spricht von einem "Sybil"-Angriff.

    "Die einzelnen Bots in dem Netz kennen ihre Nachbarn; sie tragen in sich Listen über die Kennnummern dieser Nachbar-Bots. Nachdem wir unsere Sybils eingesetzt hatten, sahen die Bots um sich herum nur von uns kontrollierte Bots, nicht aber den Rest des Netzes."

    Das Wort "Sybil" kommt in der Theorie der Netzwerke übrigens nicht von der griechischen Prophetin Sybille, sondern von einem Roman über multiple Persönlichkeiten.

    "Wir stießen in unserer Emulation auf ein Problem, das uns die Simulation nicht zeigte: Der Sybil-Angriff schlug fehl, wenn er zu langsam ging und das Netz zu stark belastete. Statt einfach blind zu infizieren, mussten wir also einer strengen Logistik folgen. Anfang 2010 hatte man einen vergleichbaren Test-Angriff gegen ein richtiges Botnetz gestartet, der erfolgreich verlief. Aber es stellte sich die Frage der Reproduzierbarkeit; Wie viel Glück war dabei? Solch ein Sybil-Angriff kann durchaus auffliegen, wenn es zu massiv und zu langsam passiert. Dann melden die Bots ihren Meistern, dass hier etwas nicht stimmt, und die haben entsprechend Zeit, zu reagieren."

    Die Technik hinter den großen Botnetzen der jüngsten Vergangenheit hieß Storm und Waledac. Beide basieren auf akademischen Arbeiten über Peer to Peer-Netzwerke, wozu auch die Tauschbörsen gehören. José Fernandez über den Konflikt zwischen der Forschung und ihren kriminellen Anwendungen:

    "Wir lernen viel von den Programmierern moderner Botnetze. Umgekehrt ist es uns aber natürlich gar nicht recht, wenn die von unseren Forschungen profitieren. Die Frage stellen wir uns jeden Tag: Wie viel von dem, was wir herausfinden, sollen wir hinausposaunen? Schließlich sind sie die Bösen, und wir sind die Guten."