Malware-Vorhersage

Internet Storm Center sucht Anomalien im Web Traffic

| Autor / Redakteur: Manuel Schönthaler* / Stephan Augsten

Über verschiedene Tools des ISC-Blogs wird unter anderem die TCP/UDP-Port-Aktivität im Internet gemessen und dargestellt.
Über verschiedene Tools des ISC-Blogs wird unter anderem die TCP/UDP-Port-Aktivität im Internet gemessen und dargestellt. (Bild: SANS Institute)

Je eher eine Malware erkannt wird, desto weniger Schaden kann sie anrichten. Das Internet Storm Center sucht deshalb nach Traffic-Anomalien im World Wide Web. In diesem Beitrag sehen wir uns genauer an, wie die Sicherheitsforscher in Florida dabei vorgehen.

In den vergangenen Jahren haben Hacker-Angriffe mit ausgefeilter Schadsoftware – Viren, Würmer und Bots – kontinuierlich zugenommen. Dabei werden inzwischen nicht mehr einzelne Computersysteme manuell infiltriert. Über manipulierte Webseiten oder präparierte E-Mail können Hacker abertausende von Rechnern automatisch infizieren und dann beispielsweise auf Passwörter oder Benutzeroberflächen zugreifen.

Um diesen Angriffen effektiv zu begegnen, ist eine frühe Lokalisierung von Malware im Netz unerlässlich. Nun ist das Aufspüren einzelner Malware für gewöhnlich mit einem erheblichen Zeitaufwand verbunden. Doch es besteht eine zeitsparende Alternative.

Die massenhafte Ausbreitung von Malware gibt sich in den Datenströmen des Internets als Anomalie zu erkennen. Daher bietet sich aus einer globalen Perspektive die Möglichkeit, derlei Schadsoftware frühzeitig zu erkennen, so dass rechtzeitig Gegenmaßnahmen ergriffen werden können. Solch eine globale Perspektive bietet das Internet Storm Center (ISC).

Ausgestattet mit einem in unzählige Computersysteme von Freiwilligen implementierten Sensoren-Netzwerk arbeitet dieses Frühwarnsystem wie ein digitaler Wetterdienst, der regional und global Anomalien im Netz zum Vorschein bringt und auswertet. So können massierte Angriffe frühzeitig lokalisiert und zielgenau angegangen werden.

Von der Website zur Datenbank

Gegründet wurde das ISC bereits im Jahr 2001 in Jacksonville, Florida. Sein Ursprung liegt in der Website Incidents.org, die Ende der 1990er vom SysAdmin, Networking and Security Institut, auch bekannt als SANS Institute, ins Leben gerufen worden war. Ursprünglich wollte man die Computeranlagen privatwirtschaftlicher und staatlicher Einrichtungen bei der Umgehung des Millenium-Bugs zu unterstützen.

Nachdem diese Aufgabe erfolgreich abgeschlossen worden war, wurde die Website Anfang 2000 vom SANS-Institut um das Programm DShield erweitert. DShield geht auf Dr. Johannes Ulrich, den damaligen Gründer und heutigen Leiter des ISC zurück. Seine Idee war es, aktuelle Firewall-Logs aus der ganzen Welt in einer Datenbank zu bündeln und so zur Anhebung der Sicherheit aller mit dem Internet verbundenen Computersysteme beizutragen.

Es entstand eine sogenannte Consensus Incidents Database (CID) für Intrusion Detection Log-Einträge. Bereits im März 2000 gelang damit ein erster größerer Fund: der Wurm Li0n. Da er in einem frühen Verbreitungsstadium entdeckt wurde, konnten rechtzeitig Gegenmaßnahmen eingeleitet und größere Schäden abgewehrt werden.

Dieser Erfolg ermutigte das SANS-Institut, weitere Investitionen in das CID-Projekt zu tätigen, so dass es zügig ausgebaut werden konnte. Noch im November 2000 begann es damit, den gesamten Internet-Verkehr auf Anomalien zu überwachen. Wenige Monate später wurde der Name des CID geändert, um dessen erweitertem Aufgabenbereich gerecht zu werden: Das Internet Storm Center war geboren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43282550 / Malware)