Frühwarnsystem für gekaperte Rechner
Passive Beobachtungsmethode für Spammer nicht entdeckbar
 |
System warnt User vor Integration von Rechnern in Botnetze (Foto: pixelio.de/Gerd Altmann) |
Wien (pte029/22.01.2009/13:50) Der österreichische IT-Experte Alexander Seewald http://www.seewald.at hat ein Frühwarnsystem für Botnetze entwickelt, das von Spammern nicht erkannt wird und somit zuverlässig vor der Infiltration bedrohter Rechners warnt. Obwohl bereits einige internationale Vorfälle die Gefahr, die von ferngesteuerten Rechnernetzen ausgeht, aufgezeigt haben, sei noch viel zu wenig über Aufbau, Lebenszyklus und Verwendung der Botnetze bekannt, sagt Seewald gegenüber pressetext. Sein nun vorgestelltes Frühwarnsystem entstand in Kooperation mit Wilfried Gansterer im Rahmen eines Projektes mit dem Research Lab Computational Technologies and Applications http://www.cs.univie.ac.at der Universität Wien.
"An der Tatsache, dass Botnetze mittlerweile in der Lage sind, die Internet-Infrastruktur von kleineren Ländern anzugreifen, wie etwa 2007 jene von Estland oder 2008 die der Marshall Islands, erkennt man die enorme Gefahr dieser kriminellen Netzwerke", stellt Seewald fest. Um sicherzustellen, dass Spammer von der Überwachungstätigkeit des Frühwarnsystems nichts bemerken, setzt der Entwickler eine neue Methodik ein. Bisherige Verfahren, die hauptsächlich über Entschärfung oder Reverse Engineering vorhandene Schadsoftware manuell analysieren und beobachten, können vom Betreiber des Botnetzes erkannt werden. Seewalds Lösung arbeitet vollkommend passiv und wird somit von Spammern nicht erkannt.
"In einem Netzwerk wird mit einem Rechner, der eine ungenutzte IP-Adresse verwendet, eine Falle gebaut", beschreibt Seewald im Gespräch mit pressetext. Wenn schließlich Spammer den PC mit einem Schadprogramm angreifen, löst dies einen Alarm aus und die Administratoren werden darüber informiert. Somit ist es möglich, weitere Rechner vor dem Befall zu schützen. Durch die Beobachtung der Aufbauphase des Botnetzes ist Seewalds System in der Lage, noch vor der erfolgreichen Erweiterung des Netzes eine Warnung an verantwortliche Systemadministratoren oder die betroffenen User selbst auszusenden, etwa wenn sich die Aktivität vorhandener Bots sprunghaft erhöht.
Zum Einsatz kann das Frühwarnsystem beispielsweise kommen, um IP-Blacklists zum Ausfiltern von E-Mail-Spam zu verbessern. Darüber hinaus erleichtert die frühe Erkennung neuer Botnetze vor allem Administratoren die Arbeit, um ihre Systeme - seien es Unternehmensnetzwerke oder Netze von ISPs - Bot-frei zu halten. Laut Seewald gilt dies auch für bislang unbekannte Bots, wie sie zum Beispiel für Industriespionage-Zwecke eingesetzt werden. Derzeit liegt das Frühwarnsystem als Prototyp vor. Seewald ist aktuell auf der Suche nach Partnern, mit denen er seine Entwicklung eingehend überprüfen kann. "Geplant ist, das System gemeinsam mit einem IT- Sicherheitsfirma oder eines großen Internet-Providers bis Ende 2009 fertig zu entwickeln", sagt Seewald.
Für die Botnetz-Bekämpfung sieht Seewald jedoch noch weitere Chancen. "Ein ISP hat die Möglichkeit, den befallenen Rechner eines Kunden vom Netzwerk zu trennen und ihn über die Infektion des Computers zu unterrichten", führt Seewald aus. Angeboten wird meistens eine Hilfe beim Entfernen der Schadsoftware. "Eine interessante Methode wäre hingegen auch, das unerwünschte Programm remote zu entfernen", meint der IT-Experte. Hier wären jedoch noch einige Fragen zu klären, die einerseits die technische Machbarkeit, andererseits die damit verbundenen rechtlichen Fragen betreffen.
(Ende)| Aussender: | pressetext.austria |
| Ansprechpartner: | Andreas List |
| Tel.: | +43-1-81140-313 |
| E-Mail: | list@pressetext.com |
