 | |
 | |
 | |
| |
 |
|
| |
 |
|
| |
 |
|
| |
 |
|
| |
 |
|
| |
 |
|
| |
 | |
| |
 | |
| |
 | |
| |
 | |
| |
 | |
| |
 | |
| |
| |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Rubrik: Tagesberichte |
Print-Version
 |
|
Methode zur Detektion von Computer-Würmern Wenn der Wurm rein will | |
|
Computer-Würmer können massive Schäden verursachen. Zwei ETH-Forscher haben im Rahmen ihrer Masterarbeit eine Methode zur raschen Detektion von Computerwürmern entwickelt. Das Verfahren, das in enger Zusammenarbeit mit dem Schweizerischen Unternehmen "Open Systems" entstanden ist, steht kurz vor der Implementation in Kundenprojekte. Die beiden ETH-Ingenieure haben für ihre Arbeit letzte Woche den Fritz-Kutter-Preis erhalten. Computerviren und -würmer verursachen massive Schäden und enorme Kosten. Der Computerwurm "SQL Slammer" zum Beispiel infizierte im Januar 2003 innert 10 Minuten 75'000 Hosts weltweit. Die Experten des Unternehmens „Trend Micro Incorporated“ schätzten allein für das Jahr 2003 die Schäden auf 55 Milliarden US-Dollars. Häufig nutzt ein Computerwurm eine bestimmte Sicherheitslücke, die einen Wirtscomputer oder Host verwundbar macht. Ist ein Host infiziert, sucht er seinerseits das Internet nach neuen verwundbaren Hosts ab, um diese ebenfalls zu infizieren, was zu einer hohen Auslastung des internen Netzwerkes und in den meisten Fällen zum totalen Ausfall der Internetverbindung führt. Dieses Problem vor Augen begannen die ETH-Studenten, Christoph Göldi und Roman Hiestand, 2004 ihre Masterarbeit bei der Communication Systems Group der ETH Zürich (1)(2). Das Ziel war die Entwicklung eines Systems, das Würmer in einem Firmennetzwerk früh erkennt, deren Ausbreitung eindämmt und dadurch eine Überlastung der Infrastruktur verhindert. Die Arbeit entstand in enger Zusammenarbeit mit dem Unternehmen "Open Systems" in Zürich (3). Der Anbieter von Managed Security Lösungen, der sich als Kompetenzzentrum für die grösstmögliche Sicherheit bei maximaler Verfügbarkeit von IT-Systemen und Netzwerken versteht, betreibt mit 25 Mitarbeitern Sicherheitsinstallationen in über 70 Ländern auf sechs Kontinenten. „Für uns war von Anfang an klar“, so Christoph Göldi, „dass unser Detektionssystem nicht auf der bekannten Methode des ‘Pattern Matching’, also der Erkennung von gewissen bekannten Mustern, beruhen wird.“ Der Ansatz der ETH-Ingenieure basierte vielmehr auf der Analyse von fehlgeschlagenen Verbindungen. Ein Wurm sendet in den meisten Fällen eine riesige Menge von gleich oder ähnlich aussehenden Paketen ins Netzwerk, um nach verwundbaren Hosts zu suchen. Dieser "Scan Traffic“ hat ein charakteristisches Aussehen, da viele der gewünschten Verbindungen nicht zustande kommen. Die fehlgeschlagenen Verbindungen sind ein klarer Hinweis auf eine Wurminfektion.
|
Zielsicher Würmer erkannt Den Prototyp des neuen Programms testeten die Ingenieure zuerst anhand von Simulationen und danach in der Umgebung von Open Systems. Für weitere Tests integrierten sie ihr Programm in das Open Source „Bro Network Intrusion Detecton System“ (BroIDS). Nach ersten intensiven Tests stellte sich heraus, dass die neue Methode mit geringem rechnerischen Aufwand treffsicher Würmer erkennt sowie kaum Fehlalarme produziert. Der letzte Punkt ist von Bedeutung, da jeder Falschalarm hohe Kosten verursacht und somit die Anzahl der sogenannten "False Positives“ in der Praxis fast so entscheidend ist wie eine kurze Detektionszeit. Das Ziel der Masterarbeit war in der ersten Hälfte des Jahres 2005 erreicht. Christoph Göldi, der mittlerweile als Security Engineer bei Open Systems arbeitet, integriert zurzeit das neue Detektionsverfahren in die Mission Control Security Services von Open Systems. In näherer Zukunft soll auf der bestehenden Infrastruktur des Kunden, dem sogenannten Security Gateway, das neue, remote installierte Programm den Netzwerkverkehr überwachen. Wenn ein interner Computer infiziert wird und zu scannen beginnt, wird er sofort erkannt. Ein Alarm informiert die Sicherheitsingenieure von Mission Control, dem Operation Center von Open Systems, welches rund um die Uhr, sieben Tage die Woche die sicherheits- und betriebsrelevanten Systeme der Kunden überwacht. Konstante Weiterentwicklung ein Muss Doch wie sicher ist ein Computer-Netz, das mit dem neuen Programm überwacht wird? „Die neue Detektionsmethode erkennt die Mehrzahl der heutigen Würmer“, ist Göldi überzeugt. Trotzdem weist der ETH-Ingenieur auf die Limiten des Systems hin: „Die Bedrohungen verändern sich konstant und neue Ansätze wie etwa die IP-Telefonie, File-Sharing-Programme oder 'Peer to Peer'-Clients ermöglichen neue Wurmvarianten, die diese neuartige Vernetzung und persönliche Adresslisten ausnützen, um weitere Computer zu infizieren.“ Dies stellt neue Anforderungen in Bezug auf Sicherheit. Deshalb müssen auch die Services von Open Systems kontinuierlich weiterentwickelt und dem neusten Stand der Technologie angepasst werden. „Nur so“, betont Göldi, „ist es möglich, jederzeit lückenlosen Schutz bieten zu können.“ Angesprochen darauf, ob es für den Markt kein Nachteil sei, dass ihr Programm auf Linuxmaschinen ausgerichtet ist, verneint Göldi. Die meisten Service-Computer würden heutzutage Linux verwenden, da sei es egal ob im damit verbundenen Netz noch Computer mit beispielsweise Windows vorhanden sind. Zudem unterstütze ihr Programm auch das Unix-Betriebssystem. Praxistauglichkeit wird dem neuen Detektions-System aber nicht nur von seinen Entwicklern attestiert. So erhielten letzte Woche Christoph Göldi und Roman Hiestand den mit 10'000 Franken dotierten Fritz-Kutter-Preis(4). Dieser wird für praxisgerechte Lösungen im Bereich der Informationsverarbeitung, für innovative Methoden oder für nutzbringende Implementationen von Erkenntnissen der Informatik im wirtschaftlichen Umfeld vergeben. |
||||||||||||
|
Fussnoten:
Sie können zu diesem Artikel ein Feedback schreiben oder die bisherigen lesen. | |||||||||||||
