Nematodes: Würmer gegen Würmer

EWeek security berichtet über das Forschungsvorhaben von Dave Aitel (Immunity Inc.), kontrollierte Würmer als kosteneffektive Methode zum Schutz von Netzen einzusetzen.
Das Konzept ist nicht neu: Schon mit dem vermehrten Auftauchen der ersten Computerviren in den 80ern wurde gemutmaßt, gutmütige Viren in Umlauf zu bringen, die Rechner vor weiterem Virenbefall "impfen".

Das vorgestellte Framework erlaubt die relativ einfache Konstruktion von Würmern für Sicherheitslücken; im Gegensatz zu schädlichen Würmern wird die Verbreitung eingeschränkt (vorgeschlagen wird die Kontrolle über einen Server). Durch die selbständige Verbreitung in einem größeren Netz (z.B. konzernweit) ergäbe sich angeblich ein kosteneffektiver und zuverlässigerer Schutz als mit zentralistischen Ansätzen, da die Netzinfrastruktur typischerweise ständigem Wandel unterworfen ist und die (laut Dokumentation) angenommene Netztopologie meist nicht mit der Realität übereinstimmt.
Für Nematodes heute gelten jedoch dieselben Probleme wie für die gutmütige Viren von "damals": Kritikpunkte sind Stabilität, Zuverlässigkeit, Ressourcenverbrauch und Kontrolle.
Exploits beeinträchtigen die Stabilität eines laufenden Systems; so reagieren beispielsweise die verschiedenen Sprachversionen von Windows leicht unterschiedlich; ein Exploit, der auf einem englischen WinXP funktioniert, bringt ein deutsches WinXP lediglich zum Absturz.
Das Paradigma "Verbreiten und Scannen" liefert lediglich eine Heuristik für die Netzabdeckung. Sie kann kontrollierte Komplettscans wohl nur ergänzen, nicht aber ersetzen.
Viren wie Würmer benötigen Ressourcen - Rechenzeit, Bandbreite und Speicherplatz. Je nach Kontrollmöglichkeiten können hier weitere hausgemachte Probleme entstehen.
Kontrolle über die Verbreitung bedeutet wiederum Infrastruktur - je enger die Kontrolle, desto mehr Aufwand muß hier betrieben werden; je größer der Aufwand, desto geringer werden die Vorteile gegenüber zentralistischen Vulnerability Scans.
Zuletzt bleibt noch die Frage der Zuverlässigkeit der Scans: Wer Vulnerability Scanner wie z.B. Nessus schon benutzt hat, weiß, daß es sowohl zu false positives als auch zu false negatives kommt. Eine Management-Software, die zuverlässig Auskunft über installierte Software (und Patches) gibt, hat dieses Unschärfeproblem nicht.
Alles in allem bleibt die Idee allenfalls technisch reizvoll, eine praktische Anwendung scheint momentan allerdings eher unwahrscheinlich.

comments powered by Disqus