Klassische Anti-Virenprogramme stoßen immer häufiger an ihre Grenzen. Damit ein Virenschutz ein Schadprogramm erkennt, muss dieses bereits bekannt sein. Doch es tauchen immer neue schädliche Programme auf, die sich außerdem ständig verändern. Die Fachhochschule St. Pölten arbeitet im Projekt "MalwareDef" an Methoden, um neue, noch unbekannte Gefahren zu erkennen. [...]
Die Anzahl der Attacken und der im Umlauf befindlichen Schadprogramme wächst rasant. Derzeit sammeln IT-Sicherheitsfirmen 50.000 bis 100.000 Verdachtsfälle pro Tag. Vieles davon scheidet bei genauerer Prüfung wieder aus, doch das Überprüfen durch Schutzprogramme und deren Aktualisierung werden immer aufwendiger – die Rechner werden dadurch langsamer. Von den gängigen Virenschutzprogrammen werden Gefahren derzeit vor allem nach dem Aussehen der Bedrohung beurteilt – heuristische Methoden sind noch am Anfang. Weiterhin werden hauptsächlich Signaturen, Teile des Codes des schädlichen Programms, gesucht. Doch dafür muss die Gefahr bereits bekannt sein.
„Das ist so, wie wenn man einen Verbrecher oder eine Verbrecherin in der Datenbank der Polizei sucht: Dort enthalten sind nur jene Menschen, die schon Straftaten begangen haben. Die Suche nach neuen Straftätigen ist im Vergleich dazu deutlich schwieriger“, sagt Paul Tavolato, FH-Professor am Institut für IT-Sicherheitsforschung der Fachhochschule St. Pölten und Leiter des Projekts „MalwareDef“.
Das Institut für IT-Sicherheitsforschung der FH St. Pölten arbeitet in dem Projekt an einer Methode, durch die schädliche Programme abgewehrt werden können, auch wenn sie in den Datenbanken der Schutzprogramme noch nicht verzeichnet sind. Grundlage dafür ist das Verhalten der Schadprogramme: Diese Aktionen sind oft nur Kleinigkeiten: Da und dort wird eine Datei angelegt, etwas umformuliert, ein Programm gestartet, Verbindung nach außen aufgebaut oder werden bestimmte Daten genutzt – Aktionen, die jede für sich auch von harmlosen Programmen ausgeführt werden. „Es geht um einige Tausend Befehle, die im Einzelfall neutral, im Zusammenspiel aber verdächtig sind“, sagt Tavolato.
Sogenannte polymorphe Viren verändern sich mit jeder Verbreitung, um möglichst unerkannt zu bleiben. Manche Virenprogramme setzen zudem viele kleine, für sich sinnlose Aktionen. Dadurch soll die schädliche Absicht des Programms verschleiert werden. Diese Tricks und Strategien will das Institut für IT-Sicherheitsforschung mit dem Projekt MalwareDef entlarven – ein Wettrüsten mit den Virenprogrammierern.
Im Rahmen des Projekts wird unter anderem ein Prototyp eines Schutzprogramms entwickelt und getestet. „Die gängigsten IT-Sicherheitsprogramme kommen heute aus Ländern wie den USA oder Russland. Doch für einen Krisenfall ist es wichtig, dass das Know-How im Bereich IT-Sicherheit auch hierzulande vorhanden ist“, sagt Ernst Piller, der Leiter des Instituts für IT Sicherheitsforschung an der FH St. Pölten. Dieses Know-How baut die FH St. Pölten gemeinsam mit der Firma Ikarus Sicherheitssoftware auf, die Kooperationspartner im Projekt „MalwareDef“ ist.
Durch die neue Methode sollen nicht nur neue, massenhaft verbreitete Schadprogramme, wie zum Beispiel solche zum Ausspionieren von Kreditkartendaten, schneller erkannt werden können. Manche Viren können überhaupt nur verhaltensbasiert erfasst werden. Wenn zum Beispiel eine Firma von einem Konkurrenzunternehmen wissen will, wie viel dieses bei einer Ausschreibung bietet, wird das dafür benötigte Schadprogramm nur einmal gezielt eingesetzt. Ein derart selten verwendetes Schadprogramm findet aber nicht den Weg in die Datenbanken der Virenschutzprogramme. Und schwierig sind solche Angriffe nicht: „Wirklich gut Programmieren muss man für so ein Programm nicht können. Dafür gibt es Bastelanleitungen im Internet“, sagt Tavolato.
Das Projekt wird von der Österreichischen Forschungsförderungsgesellschaft FFG im Zuge des Sicherheitsforschungsprogramms KIRAS aus Mitteln des BMVIT gefördert. Kooperationspartner im Projekt ist die Firma Ikarus Sicherheitssoftware GmbH. (pi)
Be the first to comment