211service.com
Microsoft Team verfolgt böswillige Benutzer
Anonymität im Internet kann Fluch und Segen zugleich sein. Während die Möglichkeit, sich hinter anonymen Proxys und sich schnell ändernden Internetprotokolladressen (IP) zu verstecken, in Ländern mit repressiven Regimen freiere Meinungsäußerung ermöglicht hat, ermöglichen dieselben Technologien Cyberkriminellen, ihre Spuren zu verbergen und bösartigen Code und Spam für legitime Kommunikation weiterzugeben.
In einem Papier, das nächste Woche bei . präsentiert wird SIGCOMM 2009 in Barcelona, Spanien, demonstrieren drei Forscher des Microsoft-Forschungszentrums in Mountain View, Kalifornien, einen Weg, um den Schutzschild der Anonymität von solchen schattenhaften Angreifern zu entfernen. Mit einem neuen Software-Tool konnten die drei Informatiker selbst bei häufig wechselnden IP-Adressen des Hosts die verantwortlichen Maschinen für böswillige Aktivitäten identifizieren.
Was wir wirklich versuchen, ist der Gastgeber, der für einen Angriff verantwortlich ist, sagte Yinglian Xie , ein Mitglied des Microsoft-Teams. Wir versuchen nicht, diese Bezeichner zu verfolgen, sondern sie einem bestimmten Host zuzuordnen.
Das Prototypsystem mit dem Namen HostTracker könnte zu einem besseren Schutz gegen Online-Angriffe und Spam-Kampagnen führen. Sicherheitsfirmen könnten sich beispielsweise ein besseres Bild davon machen, welche Internet-Hosts daran gehindert werden sollten, Datenverkehr an ihre Kunden zu senden, und Cyberkriminelle hätten es schwerer, ihre Aktivitäten als legitimen Datenverkehr zu tarnen.
Xie und ihre Kollegen Fang Yu und Martin Abadi analysierten einen Monat lang Daten im Wert von 330 Gigabyte, die von einem großen E-Mail-Dienstleister gesammelt wurden, um herauszufinden, welche Benutzer für das Versenden von Spam verantwortlich sind. Um die Ursprünge mehrerer Spam-Ausbrüche zu verfolgen, untersuchten die Wissenschaftler Aufzeichnungen, darunter mehr als 550 Millionen Benutzer-IDs, 220 Millionen IP-Adressen und einen Zeitstempel für Ereignisse wie das Senden einer Nachricht oder das Anmelden bei einem Konto.
Die Verfolgung der Herkunft von Nachrichten – eine wichtige Aufgabe für die Verfolgung von Spam und anderen Arten von Internetangriffen – beinhaltete die Rekonstruktion der Beziehungen zwischen Konto-IDs und den Hosts, von denen aus Benutzer mit dem E-Mail-Dienst verbunden waren. Dazu fassten die Forscher alle IDs zusammen, auf die über einen bestimmten Zeitraum von verschiedenen Hosts zugegriffen wurde. Die HostTracker-Software durchkämmte dann diese Daten, um etwaige Konflikte zu lösen. Zum Beispiel schien manchmal mehr als ein Benutzer von derselben IP-Adresse zu stammen oder ein einzelner Benutzer hatte während überlappender Zeiträume mehrere ID-Adressen.
HostTracker löst die Konflikte durch Querverweise auf die Daten, um Proxy-Server zu identifizieren, die es mehreren Hosts ermöglichen, als eine einzige IP-Adresse zu erscheinen, und um festzustellen, wann ein Gast einen legitimen Host verwendet. Die Tatsache, dass wir schädlichen Datenverkehr bis zum Proxy selbst verfolgen können, ist eine Verbesserung, da wir den genauen Ursprung lokalisieren können, sagt Xie.
Die Forscher haben auch eine Möglichkeit geschaffen, den Datenverkehr von einer bestimmten IP-Adresse automatisch auf die schwarze Liste zu setzen, sobald das HostTracker-System festgestellt hat, dass der Host an dieser Adresse kompromittiert ist. Mit dieser Methode in der Simulation gelang es den Forschern, schädlichen Datenverkehr mit einer Fehlerquote von fünf Prozent zu blockieren – das heißt, 5 von 100 als bösartig eingestuften IP-Adressen waren tatsächlich legitim. Durch die Verwendung zusätzlicher Informationen, um gutes Benutzerverhalten zu identifizieren, konnte die Falsch-Positiv-Rate auf weniger als ein Prozent gesenkt werden.
Die Ergebnisse deuten darauf hin, dass HostTracker eine gute Möglichkeit wäre, die derzeitige Verteidigung gegen verteilte Denial-of-Service-Angriffe und Spam-Kampagnen zu verfeinern, sagt Gunter Ollmann, Vizepräsident für Forschung und Entwicklung bei Damballa , ein Unternehmen, das Unternehmen dabei unterstützt, kompromittierte Hosts in einem Computernetzwerk zu finden und zu beseitigen.
Mit dieser Technik können Botnets mit hoher Verkehrsfrequenz wie Spam-Kampagnen, DDoS-Angriffe und möglicherweise Click-Through-Angriffe gefunden werden, sagt Ollmann. Andere Angriffe wie Passwortdiebstahl und Banking-Trojaner, bei denen der Angriff eher hostzentriert ist – diese Art von Technik wäre nicht so effektiv.
Xie räumt ein, dass die Technik zwar nützlich ist, um Listen mit zu verfolgenden Hosts zu erstellen, aber für Strafverfolgungsbehörden, die versuchen, die Angreifer hinter Online-Kriminalität zu identifizieren, weniger nützlich sein kann. Die Rechenschaftspflicht, über die wir sprechen, ist keine Gerichtsbarkeit, sagt sie. Wir wollen die beiden Begriffe trennen. Die Verantwortlichkeit, über die wir sprechen, ist die Fähigkeit, die Hosts zu identifizieren.