Open-Source-Lösung gegen Code-Injection-Angriffe

Forscher an der Tel Aviv University haben mit ‘Korset’ ein neues Software-Konzept entwickelt, mit dem sich angeblich die Verbreitung von Malware über das Web bremsen lässt. Es handelt sich um eine Open-Source-Lösung für Linux-Server.

Die Idee ist, die Funktion von Servern zu überwachen und Prozesse zu beenden, die vom normalen Verhalten abweichen. “Korset dient dazu, Code-Injection-Angriffe abzuwehren”, so die Wissenschaftler. Cyberkriminelle versuchen mit diesen Attacken, seriöse Webseiten so zu manipulieren, dass sie für die Verbreitung von Schadprogrammen missbraucht werden können.

Durch ein statisches Analyseprogramm wird bei Korset ein Kontrollflussgraph erzeugt, der das normale Verhalten des Systems beschreibt. Ein Kernel-Modul erkennt anhand dieses Graphs anormale Aktivitäten. “Wenn wir ein Abweichen beobachten, wissen wir, dass Schlimmes im Gange ist”, so Avishai Wool, Professor an der Tel Aviv University und Mitentwickler von Korset. Die Kernel-Modifikation kann daher entsprechende Prozesse terminieren.

Ziel der israelischen Forscher ist es, mit Korset ein Intrusion-Detection-System gegen Code-Injection-Angriffe bereitzustellen. Derzeit ist Korset allerdings noch im frühen Proof-of-Concept-Stadium und noch nicht für den Schutz von operativen Servern geeignet, so die Forscher.

Die ‘American Friends of Tel Aviv University’ hatten Anfang dieser Woche postuliert, dass Korset langfristig “Antiviren-Softwareanbieter aus dem Markt drängen könnte”. Tatsächlich hat die Abwehr von Injection-Angriffen auf Servern jedoch wenig mit Computer-Viren zu tun, die ihren Weg auf den PC als E-Mail-Attachment oder via USB-Stick finden. “Man braucht Antiviren-Software, um Viren zu entdecken. Korset wird das nie machen, es verfolgt ganz andere Ziele”, stellten die Forscher selbst auf der Projektwebseite klar.