Früherkennungs-, Analyse- und Warnsystem vor Botnetzen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.03.2009 Edmund E. Lindau

Früherkennungs-, Analyse- und Warnsystem vor Botnetzen

Bisherige Forschungsinitiativen konzentrieren sich auf Erkennung und Abwehr von Schadcode. Eine österreichische Entwicklung will viel früher ansetzen.

Botnetze gehören mittlerweile zu den wichtigsten illegalen Einnahmequellen im Internet – egal ob es um Spam, Phishing, Cybererpressung oder die Ausschaltung von Webservern der Konkurrenz geht. Unter einem illegalen Botnetz ist eine Gruppe von Computerprogrammen zu verstehen, die auf den PC fremder Internetbenutzer ohne deren Wissen installiert wird und dort verschiedenste Dienste ausführt. Die Installation der Schadsoftware erfolgt meistens komplett unsichtbar, wodurch die PC von Millionen Usern ohne ihr Wissen zweckentfremdet und Teil eines illegalen Netzwerks werden. Alexander K. Seewald, Geschäftsführer von Seewald Solutions, hat nun gemeinsam mit Wilfried Gansterer von der Universität Wien ein rein passives – von Spammern nicht merkbares – Frühwarnsystem für Botnetze entwickelt.

»In Anbetracht der Tatsache, dass Botnetze mittlerweile in der Lage sind, die Internet-Infrastruktur von kleineren Ländern anzugreifen, wie etwa 2007 jene von Estland oder 2008 die der Marshall Islands, erkennt man die enorme Gefahr dieser kriminellen Netzwerke«, so Seewald. »Dennoch ist noch viel zu wenig über deren Aufbau, Lebenszyklus und Verwendung bekannt.« Nach jahrelanger Forschung im Bereich IT-Security hat Seewald nun im Rahmen eines Projektes mit dem Research Lab Computational Technologies and Applications (RL CTA) der Universität Wien ein System entwickelt, das bereits in der Aufbauphase des Botnetzes ansetzt und wertvolle Informationen für dessen spätere Bekämpfung liefert.

FÜR SPAMMER UNSICHTBAR Seewald und Gansterer entwickelten ein Frühwarnsystem für Botnetze, das mit einer völlig neuen Methodik arbeitet: Die automatische, laufende Beobachtung erfolgt vollkommen passiv und für die Spammer nicht merkbar, ein entscheidender Vorteil. Denn bisherige Verfahren, die hauptsächlich über Entschärfung oder Reverse Engineering vorhandene Schadsoftware manuell analysieren und beobachten, können vom Betreiber des Botnetzes erkannt werden. Da diese jederzeit mit den einzelnen Bots kommunizieren können, sind sie dann leicht in der Lage, durch Änderungen in der Schadsoftware oder über die Verschlüsselung des Transfers die Beobachtung zu bekämpfen. Durch das Frühwarnsystem bemerkt der Spammer jedoch nicht, dass er abgehört und beobachtet wird. Im Gegensatz zu traditionellen Honeypot-techniken, wählt Seewald einen anderen Ansatz.

Durch die Beobachtung der Aufbauphase des Botnetzes ist Seewald zudem in der Lage, noch vor der erfolgreichen Erweiterung des Netzes (also der Installation der Bots auf noch nicht angebundenen Rechnern) eine Warnung an verantwortliche Systemadministratoren oder die betroffenen User selbst auszusenden - etwa wenn sich die Aktivität vorhandener Bots sprunghaft erhöht.

EINSATZMÖGLICHKEITEN Das neue Frühwarnsystem von Seewald Solutions kann auf verschiedene Arten eingesetzt werden: So etwa für verbesserte IP-Blacklists zum Ausfiltern von E-Mail-Spam, da vorhandene Bots nur zu etwa fünf Prozent in existierenden Blacklists enthalten sind. Durch die sehr frühe Erkennung neuer Botnetze ist es aber auch dazu verwendbar, interne Netzwerke - von Internet-Providern oder Firmen – Bot-frei zu halten. Das gilt auch für bis dato unbekannte Bots, die zum Beispiel für Industriespionage-Zwecke eingesetzt werden und meistens nicht weit genug zirkulieren, um von Anti-Virenprogrammen erkannt zu werden.

PROJEKT-STATUS Für das Botnetze-Frühwarnsystem existiert derzeit ein Prototyp, der bereits für die Erstellung einer IP-Blacklist verwendet werden kann und acht Spam-Bot-Typen automatisch erkennt. Die dazugehörige Forschungsarbeit wurde von NetIdee Austria finanziert.

Mit dem aktuellen System können einzelne Rechner von Internetbenutzern auf Botnetz-Aktivität getestet und Zugriffe von Botnetzen aus der ganzen Welt empfangen werden. Für die Marktreife erarbeitet Seewald zurzeit entsprechende Einsatzszenarien und plant, das System gemeinsam mit einer IT- Sicherheitsfirma und/oder eines großen Internet-Providers bis Ende 2009 fertig zu entwickeln.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: