Forensic Investigations / Fi Blog / Bundesregierung unterstützt Botnetz-Bekämpfung


Bundesregierung unterstützt Botnetz-Bekämpfung

Die Bundesregierung unterstütze die Botnetz-Bekämpfung der "Anti-Botnet-Initiative" des eco-Verbands der deutschen Internetwirtschaft e.V. mit 2 Millionen Euro, berichtet Heise Online. Man wolle dazu "in der ersten Jahreshälfte 2010" eine "Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien".

Dafür, dass das ganze bereits seit Ende 2009 am Laufen ist, gibt die Suche auf der eco-Website noch erstaunlich wenig Substanz her. Es bleibt abzuwarten, ob dieses Geld einen Nutzen bringt, oder sinnlos in den Rachen eines Lobbyisten-Verbandes geworfen wird.

Ich persönlich halte das Unterfangen Rechner von Viren oder Bots zu befreien für nahezu aussichtslos, da erhältliche Anti-Viren-Produkte kaum in der Lage sein dürften, die im Umlauf befindlichen hochresistenten Schädlinge automatisch zu desinfizieren. Man hat ja schon Glück, wenn die Schädlinge überhaupt erkannt werden (siehe z.B. Erkennungsquote hier unter "AV detection" oder mal akutuelle Bedrohungen aus einschlägigen Researchblogs auf VirusTotal mitverfolgen). Technisch ist es auch kein Problem, unerkennbare, polymorphe und hochresistente Schädlinge in beliebigen Mengen herzustellen. Underground-Dienste wie hxxp://virtest.com/ erlauben es zudem, die Erkennungsquote der im Handel befindlichen Anti-Viren-Produkte abzufragen und die Erkennungsquote auf Null herunterzutreiben. VirTest funktioniert analog zu VirusTotal, leitet die hochgeladenen Dateien aber im Gegensatz zu diesem nicht an Sicherheitshersteller weiter, wie u.a. hier berichtet wurde.

Es ist geplant, per Call-Center telefonische Hilfestellung zu geben, wenn die automatische Desinfektion scheitert. Es dürfte selbst für die besten Experten eine große Herausforderung und eine tagfüllende Angelegenheit werden, dies mit einem Laien am anderen Ende der Leitung zu bewerkstelligen. Wird lediglich ein einzelner kleiner Registrierungseintrag oder irgendwo eine infizierte EXE- oder PDF-Datei (unter tausenden von Einträgen und Dateien) vergessen, installieren die meisten aktuellen Schadprogramme ihren ganzen Plunder wieder von Neuem.

Einem so einmal kompromitierten Windows-System kann man zudem nie wieder vertrauen. Bei jedem Aufruf des Online-Banking kommt das ungute Gefühl auf, es versteckt sich doch noch irgendwo etwas, das berühmte "Restrisiko", dass einem wie bekannt leicht den Rest geben kann.

Aber die Problematik geht schon vor der Bekämpfung los, nämlich mit der Erkennung. Die verwendete passive Erkennung über Honeypots , Spamtraps und die Auswertung von Denial-of-Service -Attacken und externe Beschwerden zusammengetragen werden. Während man sich an anderer Stelle nicht scheut, tiefe Grundrechtseingriffe mit zweifelhaftem Nutzen zu tätigen , die Millionen Kosten und von Menschen mit entsprechenden bösartigen Absichten in weniger als einer Minute umgangen werden können , wird ausgerechnet hier, wo es dem Schutz der Bürger vor einer echten Bedrohung dient, nicht aktiv eingegriffen. Nicht einmal eine Gesetzesänderung wäre hierfür nötig, §100 TKG erlaubt den Eingriff in Verbindungs- und Verkehrsdaten und sogar die Speicherung dieser Daten unter bestimmten Auflagen, wenn "tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen", was ich für solche Fälle klar bejahen würde. Aus der Speicherung könnte man ebenfalls wertvolle Erkenntnisse für die Aufklärung von Straftaten gewinnen, die Speicherung ist schon jetzt auf die "bösen" Verbindungen beschränkt und sieht bereits die pseudonymisierte Speicherung von Bestandsdaten des Betroffenen vor, die für die Kriminalitätsbekämpfung auch ohnehin nicht gebraucht werden. Eine so perfekte Symbiose aus effizienter Kriminalitätsbekämpfung und vorbildlichem Datenschutz habe ich persönlich selten gesehen.

Ein aktiver Eingriff erlaubt zudem die sofortige Eliminierung der Gefahr. Immerhin "begehen" kompromitierte Rechner i.d.R. direkt Straftaten nach §202c "Vorbereiten des Ausspähens und Abfangens von Daten" und §303b "Computersabotage" StGB an Dritten, was ihre Besitzer u.U. schnell in Erklärungsnot bringt. Auch ein Opt-In oder -meiner Meinung nach besser- ein Opt-Out Verfahren wären hier sicherlich leicht möglich, wenn mir dies auch allenfalls für uns Sicherheitsforscher sinnvoll erscheint.

Mit der genannten passiven Methode, die eco dagegen plant, wird lediglich darauf gehofft, das eine kompromitierte Maschine irgendwann mal hoffentlich zufällig an einen dieser Honeypots gerät. Das "Prinzip Hoffnung" ist mir an dieser Stelle jedoch etwas zu wenig, zumal auch Cyberkriminelle wohl mitgekriegt haben, dass es Honeypots gibt. Es gibt auch diverse Methoden zuverlässig festzustellen, ob es sich bei dem vermeintlichen Opfer um einen Honeypot handelt, auf die ich hier jedoch nicht eingehen möchte.

Sobald die Millionen vom BMI eingetroffen sind, werden wir das mal nachhaltig regeln ;)

UPDATE 05.03.2010: Auch andere Spezialisten sehen die Honeypots deshalb bereits vor dem Aus oder zumindest bedroht .

Kommentare

Bitte melden Sie sich Logan oder registrieren Sie sich um kommentieren zu können.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31