IBM jagt Malware mit einer Ziege

Ein neuartiges Intrusion Prevention System von IBM simuliert Server, auf die Angreifer mit ihrer Malware hereinfallen und sich so selbst entlarven sollen.

‘Billy Goat’, so der Code-Name des IDS-Systems, nutzt den Vorteil aus, dass Angriffe durch Viren oder Würmer nicht zwischen realen und virtuellen Servern unterscheiden können. Die Strategie, die das IBM Forschungszentrum in Zürich daher entwickelt hat, ist im Grunde ganz einfach: Das Programm analysiert diejenigen Daten, die an ungebundene IP-Adressen geschickt werden. Das sind Adressen, die keinem realen Gerät zugewiesen sind. Wird nun versucht, eine Verbindung mit einer nicht zugeordneten IP-Adresse herzustellen, so handelt es sich dabei entweder um eine Fehleingabe oder um eine bewusste Attacke.

Das System könne auf diese Weise Angriffe schnell erkennen, so dass Würmer und Viren wirksam isoliert sind, bevor sie sich im Netzwerk ausbreiten, heißt es. Das nämlich geht in der Praxis sehr schnell. Heutige Malware scannt willkürlich eine Reihe von Netzwerkservern, bis sie eine Lücke im System, beispielsweise einen offenen Port, findet und so ein schädliches Programm auf dem Server platzieren kann. Der kann dann beliebig missbraucht werden, um den Angriff auf andere Systeme auszuweiten. Die möglichen Folgen sind mehr als bekannt.

Billy Goat — der Codename geht angeblich auf den Film Jurassic Park zurück, bei dem  Ziegen als Köder für Dinosaurier dienten – will nach Angaben von Big Blue mit seinem Ansatz, der echte von unbedeutenden Angriffen leicht abgrenzen soll, außerdem die Fehlalarme minimieren. Die hielten den Admin und das ohnehin beschäftigte System besonders auf Trab – am Ende unnötigerweise.