Frühwarnsystem für Botnetze

Botnetze gehören mittlerweile zu den wichtigsten illegalen Einnahmequellen im Internet – egal ob es um SPAM, Phishing, Cybererpressung oder die Ausschaltung von Webservern der Konkurrenz geht. Unter einem illegalen Botnetz ist eine Gruppe von Computerprogrammen zu verstehen, die auf PCs fremder Internetbenutzer ohne deren Wissen installiert wird und dort verschiedenste Dienste ausführt. Die Installation der Schadsoftware erfolgt meistens komplett unsichtbar, wodurch PCs von Millionen Usern ohne ihr Wissen zweckentfremdet und Teil eines illegalen Netzwerks werden. Alexander K. Seewald, Geschäftsführer von Seewald Solutions, hat nun gemeinsam mit Doz. Wilfried Gansterer von der Universität Wien ein rein passives - von Spammern nicht merkbares - Frühwarnsystem für Botnetze entwickelt.

„In Anbetracht der Tatsache, dass Botnetze mittlerweile in der Lage sind, die Internet-Infrastruktur von kleineren Ländern anzugreifen, wie etwa 2007 jene von Estland oder 2008 die der Marshall Islands, erkennt man die enorme Gefahr dieser kriminellen Netzwerke“, so Seewald. „Dennoch ist noch viel zu wenig über deren Aufbau, Lebenszyklus und Verwendung bekannt“. Nach jahrelanger Forschung im Bereich IT-Security hat Seewald nun im Rahmen eines Projektes mit dem Research Lab Computational Technologies and Applications (RL CTA) der Universität Wien ein System entwickelt, das bereits in der Aufbauphase des Botnetzes ansetzt und wertvolle Informationen für dessen spätere Bekämpfung liefert.

Für Spammer unsichtbares Frühwarnsystem
Seewald und Gansterer entwickelten ein Frühwarnsystem für Botnetze, das mit einer völlig neuen Methodik arbeitet: die automatische, laufende Beobachtung erfolgt vollkommen passiv und für die Spammer nicht merkbar, ein entscheidender Vorteil. Denn bisherige Verfahren, die hauptsächlich über Entschärfung oder Reverse Engineering vorhandene Schadsoftware manuell analysieren und beobachten, können vom Betreiber des Botnetzes erkannt werden. Da dieser jederzeit mit den einzelnen Bots kommunizieren können, sind sie dann leicht in der Lage durch Änderungen in der Schadsoftware oder über die Verschlüsselung des Transfers die Beobachtung zu bekämpfen. Durch das Frühwarnsystem von Seewald Solutions bemerkt der Spammer jedoch nicht, dass er abgehört und beobachtet wird.

Durch die Beobachtung der Aufbauphase des Botnetzes ist Seewald zudem in der Lage, noch vor der erfolgreichen Erweiterung des Netzes (also der Installation der Bots auf noch nicht angebundenen Rechnern) eine Warnung an verantwortliche Systemadministratoren oder die betroffenen User selbst auszusenden - etwa wenn sich die Aktivität vorhandener Bots sprunghaft erhöht.

Einsatzmöglichkeiten
Das neue Frühwarnsystem von Seewald Solutions kann auf verschiedene Arten eingesetzt werden: so etwa für verbesserte IP-Blacklists zum Ausfiltern von E-Mail-Spam, da vorhandene Bots nur zu etwa fünf Prozent in existierenden Blacklists enthalten sind. Durch die sehr frühe Erkennung neuer Botnetze ist es aber auch dazu verwendbar, interne Netzwerke - von Internet-Providern oder Firmen - bot-frei zu halten. Das gilt auch für bis dato unbekannte Bots, die zum Beispiel für Industriespionage-Zwecke eingesetzt werden, und meistens nicht weit genug zirkulieren, um von Anti-Virenprogrammen erkannt zu werden.

Projekt-Status
Für das Botnetze-Frühwarnsystem existiert derzeit ein Prototyp, der bereits für die Erstellung einer IP-Blacklist verwendet werden kann und acht Spam-Bot-Typen automatisch erkennt. Die dazugehörige Forschungsarbeit wurde von NetIdee Austria finanziert. Mit dem aktuellen System können einzelne Rechner von Internetbenutzern auf Botnetz-Aktivität getestet und Zugriffe von Botnetzen aus der ganzen Welt empfangen werden. Für die Marktreife erarbeitet Seewald zurzeit entsprechende Einsatzszenarien und plant, das System gemeinsam mit einer IT- Sicherheitsfirma oder eines großen Internet-Providers bis Ende 2009 fertig zu entwickeln.