Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Zerstörerische Internetattacken finden und bekämpfen

Die rohe Wucht und Größenordnung der heutigen Attacken im Internet führen dazu, dass die klassische Überwachung kaum noch genügt – zumal die Anzahl miteinander verbundener Geräte in Zukunft drastisch zunehmen wird. Neue Wege sind daher gefragt: Rick Hofstede von der University of Twente (CTIT) verlässt mit seiner Doktorarbeit eingetretene Pfade und filtert die Angriffe heraus, die eine wirkliche Bedrohung darstellen. Seine neu entwickelte Open Source Software wird bereits weltweit von verschiedenen Organisationen verwendet.

 

Einfach eine große Zahl an Kombinationen von Benutzernamen und Passwörtern auszuprobieren, bis man diese gefunden hat – das kommt einem Angriff auf das Internet mit „roher Gewalt“ gleich. Einmal „drin“ im Computer des Users, kann er beispielsweise genutzt werden, um illegale Inhalte zu verbreiten oder die berüchtigten DDoS-Attacken loszutreten. Der ahnungslose User wird dadurch ungewollt selbst zu einem Angreifer. Die Angriffe mit „roher Gewalt“ geschehen über relativ anfällige Webanwendungen wie WordPress oder Joomla, aber auch über Secure Shell (SSH), wobei sich der Attackierende aus der Entfernung heraus in den Computer einloggen kann. Üblicherweise werden mögliche Attacken verhindert, indem der Netzwerkverkehr und die Logdateien auf jedem Computer analysiert werden. Diese klassische Herangehensweise zielt also vor allem auf den Inhalt des Datenverkehrs.

 

Das bedeutet jedoch, dass große Datenmengen analysiert werden, die keine Auswirkungen haben, erläutert Hofstede. Zumal der Schutz des Netzwerkes einer großen Organisation – mit zehntausenden Computern und Smartphones – durch den Blick auf das, was in jedem Gerät passiert, unmöglich ist. Hofstede setzt dagegen auf einen flowbasierten Ansatz: Er sieht auf einem höheren Niveau nach den Datenströmen und sucht nach wiederkehrenden Mustern. So wie die Verbreitung eines Reklamefolders zu erkennen ist, ohne nach dem Inhalt des Folders zu sehen, erkennt er verdächtigen Internetverkehr an der Art und Weise des Versendens und an dem Absender.

 

Vorteilhaft ist, dass das an einem zentralen Punkt geschehen kann, beispielsweise bei einem Router, der den Internetverkehr regelt. Selbst wenn die Zahl der angeschlossenen Geräte zunimmt – und das ist durch den Aufstieg des Internets der Dinge zu erwarten –, ist dieser Schutz leicht handzuhaben. Hofstede beachtet nicht alle Angriffsversuche, sondern sucht nun nach der einen Attacke, die zur wirklichen Bedrohung führt, spricht das wahre Sicherheitsproblem, wo ein Eingreifen notwendig ist. Dank seines „Flow-basierten Gefährdungsschutzes“ wird außerdem schneller erkannt, ob weitere Attacken von demselben Absender drohen.

 

Hofstede hat seinen Ansatz nicht nur in seinem Labor getestet, er hat seine dazugehörende Software SSHCure auch „open source“ den „Computer Emergency Response Teams“ verschiedener Organisationen zur Verfügung gestellt. Dabei stellte sich heraus, dass seine Methode erfolgversprechend ist und es zu deutlich weniger Vorfällen kommt. Die Überwachungsgenauigkeit betrug bis zu 100 Prozent – je nach Zahl der Anwendungen und abhängig vom Netzwerktyp. Zukünftige, leistungsfähigere Router können die Sicherung bereits selbstständig ohne Eingriff von Extra- Geräten übernehmen, erwartet Hofstede.

Zurück