Schnelles Neutralisieren von Netz-Würmern
Schnelles Neutralisieren von Netz-Würmern. Würmer breiten sich in großen Netzen bekanntlich blitzartig aus. Das IBM Forschungslabor in Rüschlikon am Zürichsee hat jetzt ein Werkzeug entwickelt, das dabei hilft, von Würmern befallene Netze ebenso schnell wieder zu reinigen. Jürgen Höfling sprach mit dem Chefentwickler, dem Mathematiker Dr. James Riordan.
Schnelles Neutralisieren von Netz-Würmern
Dr. Riordan, als ich die Pressemitteilung über das System »Billy Goat« las, dachte ich spontan: das ist doch nicht neu, dass man versucht, Einbruchsprävention mit Hilfe eines Netzwerks von virtuellen IP-Adressen zu machen. Da gibt es doch sogar Produkte am Markt.
Billy Goat ist kein Intrusion Prevention System im herkömmlichen Sinne, sondern ein sehr spezialisiertes System für große weltweite Netze, das Netzrechner, die von einem Wurm be-
fallen sind, sicher erkennt. Billy Goat ist nicht zur Erkennung x-beliebi-
ger Angriffe ausgelegt. Seine Hauptaufgabe ist auch nicht die Erkennung neuer Würmer, obwohl es dazu bedingt geeignet ist, sondern wie ich schon sagte: Billy Goat erkennt Maschinen im Netz, die von einem schon bekannten Wurm befallen sind, und das aber nicht mit 95 Prozent Sicherheit, sondern mit einer Sicherheit von 100 Prozent.
Und das auf der Basis von virtualisierten IP-Adressen, die man sozusagen als Köder auslegt. Habe ich das richtig begriffen?
Ja, das ist die hauptsächlich verwendete Technik.
Welche Techniken werden noch eingesetzt?
Da Billy Goat nur eine Sache wirklich gut kann, nämlich wurmbefallene Rechner in Netzen aufdecken, ist es ein System, das in ein größeres Sicherheitsgeflecht integriert werden muss. Es verfügt deshalb neben der genannten Spezialtechnik vor allem über ausgefeilte Integrations- und Kommunikationstechniken, um mit anderen Systemen zusammenzuspielen.
Um schnell reagieren zu können?
Ganz genau: Wurmseuchen verbreiten sich bekanntlich blitzschnell über das Netz. Wenn man die Signatur einer Schadsoftware kennt, nützt das noch nicht so viel. Man muss dieses Wissen auch schnell in Abwehrmaßnahmen umsetzen können. Die Schreiber von Schadsoftware arbeiten ja heute mit den neuesten Techniken?.
?zum Beispiel?
Zum Beispiel umgehen sie Abwehrmaßnahmen, die Würmer in ihrer Ausbreitung zu bremsen versuchen, durch Multithreading-Techniken.
Die Abwehrmaßnahmen müssen also solche Ausweichmanöver wiederum abfangen?
In der Tat. Und vor allem muss der Diagnose- und Reparaturzyklus ebenso schnell sein wie der Schadenszyklus. Das war die Herausforderung, die wir mit Billy Goat gelöst haben. Und das geht nur, wenn man offene, wohldefinierte Schnittstellen schafft, so dass unser Spezialprogramm mit anderen Sicherheitstechnologien zu-sammenspielen kann.
Ist Billy Goat schon als Produkt verfügbar?
IBM wird das System, das übrigens als Softwarepaketlösung auf der Grundlage von Linux realisiert ist, nicht als Produkt, sondern als Dienstleistung an-
bieten.
Seit wann haben Sie bei IBM Billy Goat im Einsatz?
Die erste voll funktionsfähige Version stammt aus dem Jahre 2001. Damals war Billy Goat aber noch nicht als verteiltes System angelegt.
Arbeitet Billy Goat eigentlich inline?
Es ist sicher ein aktives System, das auch Verkehr erzeugt, schließlich soll es ja handeln, wenn es eine wurmbefallene Maschine entdeckt hat. Aber technisch gesprochen ist es kein Inline-System.
Dr. Riordan, vielen Dank für das Gespräch!
