Hellhörige Rechner entlarven Hacker

Intels Prototyp namens Distributed Detection and Interference (DDI) baut auf dem so genannten Bayesschen Wahrscheinlichkeitsbegriff auf, um die versteckten Würmer zu entlarven. Die Idee dahinter: Wenn nur ein einziger Knoten eine plötzliche Spitze der Netzverbindungen registriert, kann es sich um eine vorübergehende, zufällige Fluktuation handeln. Aber wenn fünfzig Knoten auch nur einen vergleichsweise -geringen Anstieg der Verbindungen registrieren, ist es ziemlich wahrscheinlich, dass ein Angriff auf das Netz stattfindet und es daher ratsam ist, mit geeigneten Schutzmassnahmen zu reagieren.

Die Wahrscheinlichkeits-Grenzwerte in DDI lassen sich individuell definieren, um Fehlalarme so weit als möglich auszuschliessen. Denn treten diese gehäuft auf und wird deshalb das Netz heruntergefahren, verärgert man die Anwender, gibt Intel-Forscher John Mark Agosta zu bedenken.

«Basis für die Parametrisierung ist eine grosse Anzahl Erfahrungswerte», präzisiert er. «Kennt man viele Signalwerte, kann man sogar schwache Signale aus Störungen herausfiltern.»

Falscher Alarm, der den Benutzern -Unannehmlichkeiten bereitet und manchmal sogar dazu führen kann, dass sie die Warnsignale komplett ignorieren ist, genauso wie ein nicht erfolgender Alarm im wirklichen Ernstfall, die grösste Schwachstelle in den lernfähigen Detektorenmechanismen. Das macht die Implementierung derartiger Mechanismen so überaus schwierig, erklärt Ghanea-Hercock das Dilemma.

Dennoch hat er beobachtet, dass sich kommerzielle Anwender zunehmend auf Security-Massnahmen stützen, die auf anpassungsfähigen Komponenten basieren. So beinhaltet zum Beispiel Windows Vista die Funktion «Address Space Layout Randomization (ASLR)». Sie soll es Malware schwer machen, Code ausfindig zu machen, der infiziert werden soll. ASLR verteilt bei jedem Boot-Vorgang bestimmten heiklen Code in unterschiedlichen Memory-Bereichen. Damit sieht jeder Rechner für den Angreifer anders aus.