|
FH St. Pölten entwickelt neue Methoden zum Erkennen von Schadprogrammen
St. Pölten (fh) - Klassische Anti-Virenprogramme stoßen immer häufiger an ihre Grenzen.
Damit ein Virenschutz ein Schadprogramm erkennt, muss dieses bereits bekannt sein. Doch es tauchen immer neue schädliche
Programme auf, die sich außerdem ständig verändern. Das erschwert das Aktualisieren der Schutzdatenbanken
sehr – wertvolle Zeit vergeht, in der Schaden entsteht. Die Fachhochschule St. Pölten arbeitet im Projekt
„MalwareDef“ an Methoden, um neue, noch unbekannte Gefahren zu erkennen.
Seit Wochen diskutiert die Welt über das heimliche Sammeln und Auswerten von Daten durch die US-amerikanische
National Security Agency (NSA). Doch für die meisten Unternehmen und Privatpersonen ist eine andere Gefahr
viel bedrohlicher: das bewusste Ausspionieren sensibler Daten. Für Firmen ist es meist kein Problem, wenn
die NSA so manches weiß. Es kann aber großer Schaden entstehen, wenn vertrauliche Informationen an
Mitbewerber gehen. Und es ist für die Betroffenen nicht angenehm, wenn durch Schadsoftware ausspionierte private
Kreditkartendaten auf einschlägigen Schwarzmärkten zum Kauf angeboten werden.
Die Anzahl der Attacken und der im Umlauf befindlichen Schadprogramme wächst rasant. Derzeit sammeln IT-Sicherheitsfirmen
50.000 bis 100.000 Verdachtsfälle pro Tag. Vieles davon scheidet bei genauerer Prüfung wieder aus, doch
das Überprüfen durch Schutzprogramme und deren Aktualisierung werden immer aufwendiger – die Rechner
werden dadurch langsamer.
Verbrecherdatenbank für Viren
Von den gängigen Virenschutzprogrammen werden Gefahren derzeit nach dem Aussehen der Bedrohung beurteilt.
Sogenannte Signaturen, Teile des Codes des schädlichen Programms, werden gesucht und verraten Eindringlinge.
Doch dafür muss die Gefahr bereits bekannt sein.
„Das ist so, wie wenn man einen Verbrecher oder eine Verbrecherin in der Datenbank der Polizei sucht: Dort enthalten
sind nur jene Menschen, die schon Straftaten begangen haben. Die Suche nach neuen Straftätigen ist im Vergleich
dazu deutlich schwieriger“, sagt Paul Tavolato, FH-Professor am Institut für IT-Sicherheitsforschung der Fachhochschule
St. Pölten und Leiter des Projekts „MalwareDef“.
Viren mit ihrem Verhalten überführen
Das Institut für IT-Sicherheitsforschung der FH St. Pölten arbeitet im Projekt „MalwareDef“ an einer
Methode, durch die schädliche Programme abgewehrt werden können, auch wenn sie in den Datenbanken der
Schutzprogramme noch nicht verzeichnet sind. Grundlage dafür ist das Verhalten der Schadprogramme: Diese Aktionen
sind oft nur Kleinigkeiten: Da und dort wird eine Datei angelegt, etwas umformuliert, ein Programm gestartet, Verbindung
nach außen aufgebaut oder werden bestimmte Daten genutzt – Aktionen, die jede für sich auch von harmlosen
Programmen ausgeführt werden. „Es geht um einige Tausend Befehle, die im Einzelfall neutral, im Zusammenspiel
aber verdächtig sind“, sagt Tavolato.
Sogenannte polymorphe Viren verändern sich mit jeder Verbreitung, um möglichst unerkannt zu bleiben.
Manche Virenprogramme setzen zudem viele kleine, für sich sinnlose Aktionen. Dadurch soll die schädliche
Absicht des Programms verschleiert werden. Diese Tricks und Strategien will das Institut für IT-Sicherheitsforschung
mit dem Projekt MalwareDef entlarven – ein Wettrüsten mit den VirenprogrammierInnen.
Aufbau von Fachwissen
Im Rahmen des Projekts wird unter anderem ein Prototyp eines Schutzprogramms entwickelt und getestet. „Die gängigsten
IT-Sicherheitsprogramme kommen heute aus Ländern wie den USA oder Russland. Doch für einen Krisenfall
ist es wichtig, dass das Know-How im Bereich IT-Sicherheit auch hierzulande vorhanden ist“, sagt Ernst Piller,
der Leiter des Instituts für IT Sicherheitsforschung an der FH St. Pölten. Dieses Know-How baut die FH
St. Pölten gemeinsam mit der Firma Ikarus Sicherheitssoftware GmbH auf, die Kooperationspartner im Projekt
„MalwareDef“ ist.
Durch die neue Methode können nicht nur neue, massenhaft verbreitete Schadprogramme, wie zum Beispiel solche
zum Ausspionieren von Kreditkartendaten, schneller erkannt werden. Manche Viren können überhaupt nur
verhaltensbasiert erfasst werden. Wenn zum Beispiel eine Firma von einem Konkurrenzunternehmen wissen will, wie
viel dieses bei einer Ausschreibung bietet, wird das dafür benötigte Schadprogramm nur einmal gezielt
eingesetzt. Ein derart selten verwendetes Schadprogramm findet aber nicht den Weg in die Datenbanken der Virenschutzprogramme.
Und schwierig sind solche Angriffe nicht: „Wirklich gut Programmieren muss man für so ein Programm nicht können.
Dafür gibt es Bastelanleitungen im Internet“, sagt Tavolato.
Projekt „MalwareDef – Malware Erkennung über formale Beschreibung des Verhaltens“
Das Projekt wird von der Österreichischen Forschungsförderungsgesellschaft FFG im Zuge des Sicherheitsforschungsprogramms
KIRAS aus Mitteln des BMVIT gefördert. Kooperationspartner im Projekt ist die Firma Ikarus Sicherheitssoftware
GmbH.
|
