Der unbekannte Feind im Computer

 

erstellt am
09. 07. 13
14.00 MEZ

FH St. Pölten entwickelt neue Methoden zum Erkennen von Schadprogrammen
St. Pölten (fh) - Klassische Anti-Virenprogramme stoßen immer häufiger an ihre Grenzen. Damit ein Virenschutz ein Schadprogramm erkennt, muss dieses bereits bekannt sein. Doch es tauchen immer neue schädliche Programme auf, die sich außerdem ständig verändern. Das erschwert das Aktualisieren der Schutzdatenbanken sehr – wertvolle Zeit vergeht, in der Schaden entsteht. Die Fachhochschule St. Pölten arbeitet im Projekt „MalwareDef“ an Methoden, um neue, noch unbekannte Gefahren zu erkennen.

Seit Wochen diskutiert die Welt über das heimliche Sammeln und Auswerten von Daten durch die US-amerikanische National Security Agency (NSA). Doch für die meisten Unternehmen und Privatpersonen ist eine andere Gefahr viel bedrohlicher: das bewusste Ausspionieren sensibler Daten. Für Firmen ist es meist kein Problem, wenn die NSA so manches weiß. Es kann aber großer Schaden entstehen, wenn vertrauliche Informationen an Mitbewerber gehen. Und es ist für die Betroffenen nicht angenehm, wenn durch Schadsoftware ausspionierte private Kreditkartendaten auf einschlägigen Schwarzmärkten zum Kauf angeboten werden.

Die Anzahl der Attacken und der im Umlauf befindlichen Schadprogramme wächst rasant. Derzeit sammeln IT-Sicherheitsfirmen 50.000 bis 100.000 Verdachtsfälle pro Tag. Vieles davon scheidet bei genauerer Prüfung wieder aus, doch das Überprüfen durch Schutzprogramme und deren Aktualisierung werden immer aufwendiger – die Rechner werden dadurch langsamer.

Verbrecherdatenbank für Viren
Von den gängigen Virenschutzprogrammen werden Gefahren derzeit nach dem Aussehen der Bedrohung beurteilt. Sogenannte Signaturen, Teile des Codes des schädlichen Programms, werden gesucht und verraten Eindringlinge. Doch dafür muss die Gefahr bereits bekannt sein.

„Das ist so, wie wenn man einen Verbrecher oder eine Verbrecherin in der Datenbank der Polizei sucht: Dort enthalten sind nur jene Menschen, die schon Straftaten begangen haben. Die Suche nach neuen Straftätigen ist im Vergleich dazu deutlich schwieriger“, sagt Paul Tavolato, FH-Professor am Institut für IT-Sicherheitsforschung der Fachhochschule St. Pölten und Leiter des Projekts „MalwareDef“.

Viren mit ihrem Verhalten überführen
Das Institut für IT-Sicherheitsforschung der FH St. Pölten arbeitet im Projekt „MalwareDef“ an einer Methode, durch die schädliche Programme abgewehrt werden können, auch wenn sie in den Datenbanken der Schutzprogramme noch nicht verzeichnet sind. Grundlage dafür ist das Verhalten der Schadprogramme: Diese Aktionen sind oft nur Kleinigkeiten: Da und dort wird eine Datei angelegt, etwas umformuliert, ein Programm gestartet, Verbindung nach außen aufgebaut oder werden bestimmte Daten genutzt – Aktionen, die jede für sich auch von harmlosen Programmen ausgeführt werden. „Es geht um einige Tausend Befehle, die im Einzelfall neutral, im Zusammenspiel aber verdächtig sind“, sagt Tavolato.

Sogenannte polymorphe Viren verändern sich mit jeder Verbreitung, um möglichst unerkannt zu bleiben. Manche Virenprogramme setzen zudem viele kleine, für sich sinnlose Aktionen. Dadurch soll die schädliche Absicht des Programms verschleiert werden. Diese Tricks und Strategien will das Institut für IT-Sicherheitsforschung mit dem Projekt MalwareDef entlarven – ein Wettrüsten mit den VirenprogrammierInnen.

Aufbau von Fachwissen
Im Rahmen des Projekts wird unter anderem ein Prototyp eines Schutzprogramms entwickelt und getestet. „Die gängigsten IT-Sicherheitsprogramme kommen heute aus Ländern wie den USA oder Russland. Doch für einen Krisenfall ist es wichtig, dass das Know-How im Bereich IT-Sicherheit auch hierzulande vorhanden ist“, sagt Ernst Piller, der Leiter des Instituts für IT Sicherheitsforschung an der FH St. Pölten. Dieses Know-How baut die FH St. Pölten gemeinsam mit der Firma Ikarus Sicherheitssoftware GmbH auf, die Kooperationspartner im Projekt „MalwareDef“ ist.

Durch die neue Methode können nicht nur neue, massenhaft verbreitete Schadprogramme, wie zum Beispiel solche zum Ausspionieren von Kreditkartendaten, schneller erkannt werden. Manche Viren können überhaupt nur verhaltensbasiert erfasst werden. Wenn zum Beispiel eine Firma von einem Konkurrenzunternehmen wissen will, wie viel dieses bei einer Ausschreibung bietet, wird das dafür benötigte Schadprogramm nur einmal gezielt eingesetzt. Ein derart selten verwendetes Schadprogramm findet aber nicht den Weg in die Datenbanken der Virenschutzprogramme. Und schwierig sind solche Angriffe nicht: „Wirklich gut Programmieren muss man für so ein Programm nicht können. Dafür gibt es Bastelanleitungen im Internet“, sagt Tavolato.

Projekt „MalwareDef – Malware Erkennung über formale Beschreibung des Verhaltens“
Das Projekt wird von der Österreichischen Forschungsförderungsgesellschaft FFG im Zuge des Sicherheitsforschungsprogramms KIRAS aus Mitteln des BMVIT gefördert. Kooperationspartner im Projekt ist die Firma Ikarus Sicherheitssoftware GmbH.

 

 

 

Informationen hier >

   
     

zurück

 

 

 

 

Kennen Sie schon unser kostenloses Monatsmagazin "Österreich Journal" in vier pdf-Formaten? Die Auswahl finden Sie unter http://www.oesterreichjournal.at