Weißer Wurm könnte Bluetooth-Viren stoppen

Handyviren begleiten uns schon seit einiger Zeit. Der erste Virus, der sich über Bluetooth-Kontakte verbreiten sollte, tauchte erstmals im Jahr 2004 auf.





Es heißt Cabir, infiziert Mobiltelefone der Serie 60, auf denen das Symbian-Betriebssystem läuft, und ist hochansteckend. Als Computersicherheitsforscher Cabir zum ersten Mal auf ein Testgerät luden, stellten sie bald fest, dass ihre eigenen Telefone angegriffen wurden.

Computersicherheitsforscher nutzen heute kupferabgeschirmte Räume, in denen sie die Verbreitung von Bluetooth- und WLAN-Viren testen können, ohne eine unkontrollierte Freisetzung befürchten zu müssen.

Aber während sich diese Viren weiterentwickeln, wurde relativ wenig daran gearbeitet, wie sie gestoppt werden können. Das liegt zum Teil daran, dass Viren, die sich per E-Mail oder SMS verbreiten, von einem Netzbetreiber mit vorhandenen Technologien relativ einfach gescannt werden können (dh indem sie mit einer Datenbank bekannter Malware verglichen werden).



Aber heimtückischer sind Viren mit kurzer Reichweite, die sich über Bluetooth und WLAN von Telefon zu Telefon ausbreiten. Mobiltelefone haben nicht unbedingt die Rechenleistung, um alle eingehenden Nachrichten zu scannen.

Dieses Problem wird durch einen entscheidenden Unterschied in der Struktur der Netzwerke, die von drahtlosen Geräten mit kurzer Reichweite im Vergleich zu größeren Mobilfunknetzen gebildet werden, verschärft. Bluetooth-Verbindungen ändern sich im Laufe des Tages ständig auf eine Weise, die das Muster persönlicher Verbindungen zwischen Menschen nachahmt. Kein Wunder, denn Bluetooth hat nur eine Reichweite von wenigen Metern.

Das Mobilfunknetz ist jedoch weitgehend statisch, da Anrufe über eine zentrale Glasfaser geleitet werden müssen.



Die schnelle Änderung der Verbindungen zwischen Knoten hat wichtige Auswirkungen. Wir haben uns Anfang des Jahres einige von ihnen angesehen, beispielsweise die Reihenfolge, in der die Kontakte auftreten. John Tang von der University of Cambridge in Großbritannien und seine Freunde weisen darauf hin, dass die dynamische Natur von Netzwerken bisher in Antivirenstrategien ignoriert wurde.

Das scheint sich zu ändern. Heute enthüllen Tang und Co die neuen Tricks, von denen sie hoffen, dass sie diese Bedrohung für dynamische Netzwerke ersticken werden.

Einer der Hauptunterschiede zwischen der Verbreitung von Viren in statischen und dynamischen Netzwerken ist die Reihenfolge, in der Infektionen auftreten. Ein scheinbar triviales Beispiel ist, dass es unmöglich ist, sich einen Virus von jemandem einzufangen, der noch nicht infiziert ist. Und sobald Ihre Verbindung zu dieser Person unterbrochen wird, wie dies in dynamischen Netzwerken der Fall ist, sind Sie in Sicherheit. In einem statischen Netzwerk hingegen brechen die Links nicht ab und man steckt sich später einfach an.



Das hat wichtige Auswirkungen auf die Verbreitung mobiler Malware. In jedem Telefonnetz stellen bestimmte Telefone weit mehr Verbindungen her als andere. Ein traditioneller Ansatz besteht darin, diese Knoten mit Patches anzusprechen, die die Verbreitung von Malware verhindern.

Aber in einem dynamischen Netzwerk bedeutet die ständige Neuverkabelung, dass sich auch diese wichtigen Knoten ändern. Daher sind die am besten verbundenen Knoten zu einem Zeitpunkt möglicherweise nicht die am besten verbundenen Knoten zu einem anderen. Dies muss natürlich bei jeder effektiven Anti-Malware-Strategie berücksichtigt werden.

Was also tun? Tang und Co. sagen, dass die Antwort darin besteht, die Malware mit ihrem eigenen Spiel zu schlagen, indem jeder Patch über das Netzwerk über die gleichen Bluetooth- oder WiFi-Routen verbreitet wird, die der Virus verwendet. Auf diese Weise sollten die Patches automatisch die am besten verbundenen Knoten erreichen.



Da das dynamische Netzwerk außerdem mehr oder weniger genau das Muster der persönlichen Interaktionen zwischen Menschen nachahmt, verbreiten sich drahtlose Viren hauptsächlich an Wochentagen, an denen die meisten menschlichen Kontakte hergestellt werden. Aber sie ruhen weitgehend in der Nacht, wenn nur wenige Kontakte hergestellt werden

Das ist wichtig, weil es bedeutet, dass jeder Patch während der Nacht aufholen kann. Tatsächlich zeigen Tang und Co, dass sich ihr Patch mit einer Geschwindigkeit ausbreiten kann, die jedes Virus übertrifft.

Tang und Co. sagen, dass dieser White-Wurm-Ansatz die Malware innerhalb einer begrenzten Zeit vollständig eindämmen kann, eine Behauptung, die von anderen Antiviren-Strategien selten gemacht wird.

Das scheint eine interessante Entwicklung im Katz-und-Maus-Rennen zwischen den Virenherstellern und -brechern zu sein. Aber es scheint unwahrscheinlich, dass es das letzte Wort ist. Es kann nur eine Frage der Zeit sein, bis Malware-Entwickler die von Tang und Co. skizzierten Techniken nutzen, um ihre Viren effektiver über dynamische Netzwerke zu verbreiten. Und wenn das passiert, beginnt der Zyklus von neuem.

Ref: arxiv.org/abs/1012.0726 : Ausnutzung zeitlich komplexer Netzwerkmetriken zur Eindämmung mobiler Malware

verbergen