Forschung mit Sandbox und Honeypots

Wo diese Kabel münden, läuft die Maschinerie von Soft- und Hardware mit ihrer vollen automatisierten Kraft auf Hochtouren. Zeitgleich ist am Lehrstuhl für Systemsicherheit der RUB die klassische Kopfarbeit gefragt. Zwischen dem Serverraum und den einzelnen Büros herrscht intensiver Datenaustausch: Denn die Forscher speisen die Server mit immer neuen Aufgaben. Sie entwickeln ausgefeilte Schutzmechanismen für bedrohte IT-Systeme und studieren dabei eingehend das Verhalten der Angreifer. Die zu analysierende Datenmenge ist ebenso wie das Gefahrenpotential gewaltig.

In der „Sandbox“ beobachten

Wenn Angreifer Befehle in Form einfacher .exe-Dateien versenden, die dann auf fremden Rechnern wüten, geht es um Schadsoftware, im Fachjargon als „Malware“ (Kurzform von Malicious Software) betitelt. Eine weit verbreitete Form der Bedrohung, die sich häufig via Download unbemerkt auf dem PC einnistet und dort ihr Unwesen treibt. Die RUB-Forscher untersuchen diese Dateien in einer künstlich geschaffenen Rechner-Umgebung. „In unserer ‚Sandbox’ kann die Schadsoftware wirklich machen, was sie will“, berichtet Prof. Dr. Thorsten Holz. Schaden richtet sie dabei nicht an, ganz im Gegenteil. Denn sie liefert als (wenn auch ungewolltes) Beobachtungsobjekt wichtige Erkenntnisse. „Und einmal analysiert, können wir – ganz bildlich gesprochen - den Sand wieder glattstreichen und die nächste Malware unter gleichen Bedingungen analysieren“, so Prof. Holz. Und das – gesegnet sei die Automatisierung – 50.000 bis 80.000-mal täglich!

„Honeypots“ als Köder

detail Auf den Maschinen im Serverraum kommen auch die so genannten „Honeypots“ zum Einsatz. Ihr Name ist Programm. Denn diese Systeme ziehen IT-Angreifer unwiderstehlich an, sie dienen als elektronischer Köder. „Wir erwecken den Eindruck, als ob unsere Systeme angreifbar seien“, so Prof. Holz. Doch die Angreifer landen in geschickt konstruierten Attrappen. Die Eindringlinge wähnen sich unbemerkt und gehen ihrem Handwerk in aller Ruhe nach. Die Wissenschaftler aber sind live dabei und betreiben wohl in gleichem Maß routiniert detaillierte Feldstudien: Wie verhalten sich die Angreifer während der Attacke? Welche Art von Programmen nutzen sie? Und welche Lehren lassen sich daraus für die Entwicklung neuer Abwehrmechanismen ziehen? „Das ist manchmal wie Fische im Aquarium zu beobachten“, schmunzelt Prof. Holz.

Gegen Mobilisierung der Angreifer

Ganz aktuell treiben ihn und sein zwölfköpfiges Team weitere neuartige „Geschäftsmodelle“ der Angreifer um. Dabei geht es um die Sicherheit von Smartphones und Tablet-PCs. „Die sind mitnichten sicher, auch die Angreifer haben sich mobilisiert“, bestätigt Prof. Holz. So bringe etwa eine spezielle Form von Schadsoftware Smartphones dazu, so genannte „Premium-SMS“ an eine bestimmte Telefonnummer zu schicken. Kosten: Oft zwei Euro oder mehr, Nutzen: Null. Zumindest für denjenigen, der versendet. Der Angreifer (und Empfänger der SMS) verdient hingegen kurzzeitig viel Geld, bevor er mitsamt der Nummer auf Nimmerwiedersehen abtaucht. Die Bochumer Forscher sind nun im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Projekts „MobWorm“ unter anderem damit beschäftigt, die Sandbox- und Honeypot-Idee auch für mobile Geräte nutzbar zu machen.


Fotos: Jasmin Seidel, Text: Meike Klinck