Nematodes: Würmer gegen Würmer

EWeek se­cu­ri­ty be­rich­tet über das For­schungs­vor­ha­ben von Dave Aitel (Im­mu­ni­ty Inc.), kon­trol­lier­te Wür­mer als kos­ten­ef­fek­ti­ve Me­tho­de zum Schutz von Net­zen ein­zu­set­zen.
Das Kon­zept ist nicht neu: Schon mit dem ver­mehr­ten Auf­tau­chen der ers­ten Com­pu­ter­vi­ren in den 80ern wurde ge­mut­ma­ßt, gut­mü­ti­ge Viren in Um­lauf zu brin­gen, die Rech­ner vor wei­te­rem Vi­ren­be­fall "imp­fen".

Das vor­ge­stell­te Frame­work er­laubt die re­la­tiv ein­fa­che Kon­struk­ti­on von Wür­mern für Si­cher­heits­lü­cken; im Ge­gen­satz zu schäd­li­chen Wür­mern wird die Ver­brei­tung ein­ge­schränkt (vor­ge­schla­gen wird die Kon­trol­le über einen Ser­ver). Durch die selb­stän­di­ge Ver­brei­tung in einem grö­ße­ren Netz (z.B. kon­zern­weit) er­gä­be sich an­geb­lich ein kos­ten­ef­fek­ti­ver und zu­ver­läs­si­ge­rer Schutz als mit zen­tra­lis­ti­schen An­sät­zen, da die Netz­in­fra­struk­tur ty­pi­scher­wei­se stän­di­gem Wan­del un­ter­wor­fen ist und die (laut Do­ku­men­ta­ti­on) an­ge­nom­me­ne Netz­to­po­lo­gie meist nicht mit der Rea­li­tät über­ein­stimmt.
Für Ne­ma­to­des heute gel­ten je­doch die­sel­ben Pro­ble­me wie für die gut­mü­ti­ge Viren von "da­mals": Kri­tik­punk­te sind Sta­bi­li­tät, Zu­ver­läs­sig­keit, Res­sour­cen­ver­brauch und Kon­trol­le.
Ex­ploits be­ein­träch­ti­gen die Sta­bi­li­tät eines lau­fen­den Sys­tems; so re­agie­ren bei­spiels­wei­se die ver­schie­de­nen Sprach­ver­sio­nen von Win­dows leicht un­ter­schied­lich; ein Ex­ploit, der auf einem eng­li­schen WinXP funk­tio­niert, bringt ein deut­sches WinXP le­dig­lich zum Ab­sturz.
Das Pa­ra­dig­ma "Ver­brei­ten und Scan­nen" lie­fert le­dig­lich eine Heu­ris­tik für die Netz­ab­de­ckung. Sie kann kon­trol­lier­te Kom­plett­scans wohl nur er­gän­zen, nicht aber er­set­zen.
Viren wie Wür­mer be­nö­ti­gen Res­sour­cen - Re­chen­zeit, Band­brei­te und Spei­cher­platz. Je nach Kon­troll­mög­lich­kei­ten kön­nen hier wei­te­re haus­ge­mach­te Pro­ble­me ent­ste­hen.
Kon­trol­le über die Ver­brei­tung be­deu­tet wie­der­um In­fra­struk­tur - je enger die Kon­trol­le, desto mehr Auf­wand muß hier be­trie­ben wer­den; je grö­ßer der Auf­wand, desto ge­rin­ger wer­den die Vor­tei­le ge­gen­über zen­tra­lis­ti­schen Vul­nera­bi­li­ty Scans.
Zu­letzt bleibt noch die Frage der Zu­ver­läs­sig­keit der Scans: Wer Vul­nera­bi­li­ty Scan­ner wie z.B. Nes­sus schon be­nutzt hat, weiß, daß es so­wohl zu false po­si­ti­ves als auch zu false ne­ga­ti­ves kommt. Eine Ma­nage­ment-Soft­ware, die zu­ver­läs­sig Aus­kunft über in­stal­lier­te Soft­ware (und Patches) gibt, hat die­ses Un­schär­fe­pro­blem nicht.
Alles in allem bleibt die Idee al­len­falls tech­nisch reiz­voll, eine prak­ti­sche An­wen­dung scheint mo­men­tan al­ler­dings eher un­wahr­schein­lich.