Forscher an der Tel Aviv University haben mit "Korset" ein Software-Konzept entwickelt, mit dem sich die Verbreitung von Malware über das Web bremsen lässt. Die Idee ist, die Funktion von Servern zu überwachen und Prozesse zu beenden, die vom normalen Verhalten abweichen. "Korset versucht, Code-Injection-Angriffe abzuwehren", erklären die Wissenschaftler. Eben solche Attacken nutzen Cyberkriminelle, um seriöse Webseiten so zu manipulieren, dass sie für die Verbreitung von Schadprogrammen missbraucht werden können. "Als Beitrag, um für mehr Sicherheit im Netz zu sorgen, macht der Ansatz durchaus Sinn", meint daher Joe Pichlmayr, Geschäftsführer bei Ikarus Software, im Gespräch mit pressetext.
An sich vertrauenswürdige Webseiten werden immer häufiger Opfer von Injection-Angriffen, und in diesem Jahr haben Hacker schon eine Reihe namhafter Seiten zeitweilig kompromittiert. Meist leitet der eingeschleuste Code ahnungslose Nutzer versteckt auf Webseiten um, die als Malwareschleudern dienen. Das könnte Korset, eine Open-Source-Lösung für Linux-Server, in Zukunft verhindern. Durch ein automatisiertes statisches Analyseprogramm wird ein Kontrollflussgraph erzeugt, der das normale Verhalten des Systems beschreibt. Ein Kernel-Modul erkennt anhand dieses Graphs anormale Aktivitäten. "Wenn wir ein Abweichen beobachten, wissen wir, dass Schlimmes im Gange ist", erklärt Avishai Wool, Professor an der Tel Aviv University und Mitentwickler von Korset. Die Kernel-Modifikation kann daher entsprechende Prozesse terminieren.
Erklärtes Ziel der israelischen Forscher ist, mit Korset ein Intrusion-Detection-System gegen Code-Injection-Angriffe ohne jegliche Fehlalarme bereitzustellen. Derzeit allerdings ist Korset noch im frühen Proof-of-Concept-Stadium und noch nicht für den Schutz von operativen Servern geeignet, betonen die Forscher. Wenn die Entwicklung weiter fortgeschritten ist, könnte die Lösung auch mit der Trägheit von Systemverantwortlichen zu kämpfen bekommen. "Eine Herausforderung wird sein, dass sich Server-Administratoren aktiv um die Sicherung bemühen müssten", meint jedenfalls Pichlmayr. Dabei sei denkbar, dass Korset sich zu einem guten Unterstützungswerkzeug entwickelt.
Die American Friends of Tel Aviv University haben Anfang dieser Woche postuliert, dass Korset langfristig "Antiviren-Softwareanbieter aus dem Markt drängen könnte". Tatsächlich hat die Abwehr von Injection-Angriffen auf Servern aber wenig mit Computerviren an sich zu tun, die ihren Weg auf den Computer eines Users beispielsweise auch als E-Mail-Attachment oder via USB-Stick finden können. "Man braucht Antiviren-Software, um Viren zu entdecken. Korset wird das nie machen, es verfolgt ganz andere Ziele", haben die Forscher selbst auf der Projektwebseite klargestellt. (pte)