Hellhörige Rechner entlarven Hacker

Seit vielen Jahren gelten Security-Tools wie Firewalls und Virenscanner als Rückgrat für die Absicherung von Computern gegen Hacker. Systeme also, die auf Basis von angesammeltem Wissen, respektive den Signaturen von Attacken der Vergangenheit, arbeiten.

Doch diese Methode hat zwei Schwachstellen: Erstens sind die Tools in der Regel ausserstande, neue Gefahren zu identifizieren, zweitens können sie gar nicht schnell genug aktua-lisiert werden, um mit der -neuesten Malware, die sich üblicherweise rasend schnell verbreitet, Schritt halten zu können. Darum denken IT-Forscher intensiv über andersartige Tools nach, die Rechner lernfähig machen und Sicherheitsfragen flexibel handhaben können. «Signaturbasierte Techniken stossen klar an ihre Grenzen», sagt etwa Robert Ghanea-Hercock, Forscher bei British Telecom in London. Um einen jederzeit tagesaktuellen Schutz zu realisieren braucht es lernfähige respektive anpassungs-fähige Software, die beobachtet, was in Echtzeit auf dem Netzwerk abläuft.»

Genau an solchen Tools arbeitet Intel. Detektoren spüren Abweichungen oder -Unregelmässigkeiten an lokalen Knoten im Netz auf, welche auf die Existenz von Würmern hinweisen würden. Solche Anomalien können etwa plötzliche Spitzen der Netz-aktivitäten sein. Ein Rechner, der normalerweise nur einige wenige Netzwerkverbindungen pro Sekunde aufbaut, kann Verdacht schöpfen, dass etwas faul sein könnte, wenn er plötzlich Befehle erhält, weitaus mehr Verbindungen als üblich aufzubauen. Über ein «Gedankenaustausch»-Protokoll gemäss dem Peer-to-Peer-Modell könnte er den anderen Rechnern im Verbund seinen Verdacht mitteilen, dass das Netzwerk wahr-scheinlich momentan von einer Hacker-attacke betroffen ist. Wenn den übrigen Rech-nern mehrfach ein solcher Verdacht von einem anderen Knoten kommuniziert wird, gehen sie davon aus, dass tatsächlich ein Angriff stattfindet und lösen vordefi-nier-te Schutzmassnahmen aus. Zum Beispiel wird ein akustischer Alarm ausgelöst oder die Verbindung zum Netzwerk wird gekappt.

Intrusion-Detection-Systeme, die nach solch abnormalem Verhalten im Netz suchen, sind nichts Neues. Auch ist es nicht schwierig, das Eindringen eines sich rasant verbreitenden Wurms - wie etwa der berüchtigte SWL Slammer, der zehntausend Rechner pro Sekunde infizierte - zu detektieren. Doch wissen dies auch die Hacker - und reduzieren deshalb in jüngster Zeit die Geschwindigkeit ihrer Malware, damit diese den konventionellen Überwachungsdetektoren nicht auffällt.

«Das Zeitalter der massiven, leicht erkennbaren Wurmangriffe ist mehr oder weniger vorbei», bestätigt auch Richard Ford, Informatikprofessor am Florida Institute of Technology und international anerkannter Security-Spezialist. «Heutzutage setzen Hacker ihre Exploits sehr viel sparsamer und gezielter ein», erläutert er. -«Dadurch verändert sich das Bedrohungsszenario grundlegend.»