|
||||
| Infiltration des Storm Botnet | | Drucken | |
| Freitag, 25.04.2008 | ||||||||
|
Forscher der Universität Mannheim und des französischen Eurecom-Instituts haben auf dem ersten Usenix Workshop LEET '08 ein Grundlagenpapier vorgestellt, in dem die Bekämpfung von Botnets durch deren Infiltration beschrieben wird. In dem Papier geht es dabei explizit um die Bekämpfung des Storm Worm, der in den letzten Monaten immer wieder für Schlagzeilen gesorgt hat, weil man dieses Netzwerk für Spam-Versand und kriminell motivierte DNS-Angriffe verantwortlich macht. Doch das in dem Papier beschriebene Vorgehen ist nicht auf den Storm Bot eingeschränkt, sondern könnte grundsätzlich auch bei der Bekämpfung anderer Botnets Einsatz finden. Dabei ist die Bekämpfung des Storm Worm aus technischer Sicht ein besonders großes Problem. Das betrifft beispielsweise die Kommunikation zwischen den einzelnen infizierten Rechnern und dem Angreifer, der die Rechner des Bot-Netzwerks dirigiert. Während bei früheren Botnets die Kommunikation über eine IRC- oder HTTP-Server gewissermaßen zentral erfolgte, kommen beim Storm Worm P2P-Strukturen zum Tragen. Dabei kommt erschwerend hinzu, dass die Kommunikation in dieser speziellen P2P-Struktur (hier Overnet) nicht nur von befallenen Rechnern ausgeht, sondern auch von legitimen Benutzern des P2P-Netzes. Doch es ist möglich, beide zu unterscheiden und die Wissenschaftler können beispielsweise die Größe des Storm Botnets aufgrund ihrer Analyse vage einschätzen. Sie stellten dabei fest, dass im Untersuchungszeitraum (Dez. 2007 bis Feb. 2008) immer zwischen etwa 5.000 und 40.000 Peers online waren. Dabei handelt es sich wahrscheinlich um die bisher genaueste Schätzung der Größe des Storm Botnet, denn in der Vergangenheit wurde die Größe nur über sekundäre Merkmale wie beispielsweise den Umfang von DoS-Attacken oder der Zahl der verschickten Spam-Mails geschätzt. Neben der Analyse des Netzes testeten die Wissenschaftler dann aber auch Methoden zur Störung des Botnet-Betriebs, was bei zumindest einem der getesteten Verfahren zum, Erfolg führte. Doch an diesem Punkt wird die Bewertung des Vorgehens schwierig, denn diese Methoden bringen es für die Wissenschaftler mit sich, selbst aktiv Änderungen auf den betroffenen Rechnern vorzunehmen. Solche Eingriffe werden üblicherweise wegen ihrer ethischen Implikationen gescheut, aber auch wegen ihrer ganz konkreten juristischen Probleme. Denn der Eingriff zur Behinderung der kriminellen Botnet-Aktivitäten könnte selbst als Angriff gewertet werden. Auf diese Punkte gehen die Autoren in ihrem Bericht leider kaum ein. Was aber nicht heißt, dass ihnen diese Probleme nicht bekannt sind. Gerade deshalb wird es sich aber lohnen, die Arbeiten der Wissenschaftler weiter zu beobachten. Denn sie stellen in Aussicht, in weiteren Schritten sich auch auf die Verbesserung der Analyse zu konzentrieren und bei der Rückentwicklung (Reengineering) ein konkretes Ziel zu verfolgen: Die Enttarnung der Angreifer, die das Storm Botnet lenken und zu kriminellen Angriffen einsetzt.
Links:
Powered by !JoomlaComment 3.26
3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved." |
||||||||
| < neuere Beiträge | ältere Beiträge > |
|---|
