IBM forciert Kampf gegen Hackerattacken
Forschungslabor in Zürich arbeitet an wirksamen Gegenmittel
©ibm |
Basel (pts047/26.09.2000/16:54) Geht es nach den Vorstellungen des IBM Forschungslabors in Zürich/Rüschlikon http://www.zurich.ibm.com , soll es schon bald ein Sicherheitssystem geben, das Hackerangriffe nicht nur erkennt, sondern automatisch auch das richtige Gegenmittel ergreift. "Unser Ziel ist die automatisch richtige Reaktion des Systems bei Hackerangriffen, derzeit muss dies immer noch der Mensch erledigen", erklärte Matthias Kaiserswerth, Direktor der IBM Forschungslabors heute, Dienstag, vor Journalisten auf der Orbit in Basel.
Laut Kaiserswerth stammen 70 Prozent der Angriffe auf Systeme aus dem Intranet, nur ein geringer Anteil der Hacker komme von außen. Doch, so der Forscher, "alle Hacker hinterlassen Spuren." Diese seien als bestimmte Datensequenzen im Datenstrom eines Netzes oder in Log-In-Files von Rechnern erkennbar. Das IBM-Labor hat eine eigene Datenbank, die VulDa (Vulnerability Database) aufgebaut, wo sämtliche über Hackerwebsites oder Newsgroups gesammelten Spuren-Muster von weltweiten Hacks gespeichert und ausgewertet werden.
Die Database dient als Grundlage für die Entwicklung von Instrusion-Detection-Sensoren, das sind Programme, die mittels Analyse von Netzwerk-Daten oder Log-Files Hackerangriffe erkennen können. Dabei verwenden die Forscher eine wissensorientierte Detektionsmethode für bereits bekannte Hackerspuren und eine verhaltensorientierte Methode, die auf Abweichung von der Norm aufbaut. Zusätzlich wurde ein Tool entwickelt, das so genannten "Sniffern", also unerlaubten Abfragen von sensiblen Daten, auf die Spur kommt. Zu diesem Zweck wird ein Passwort als "Köder" für den Hacker ausgelegt. Benutzt der Angreifer dann dieses Passwort, ist er entlarvt.
Die Hacker-Forschung in Zürich fand ihre kommerzielle Verwertung zuletzt im Tivoli SecureWay Risk Manager, dem im Frühjahr auch in Europa gelaunchten IBM-Produkt mit Intrusion Detection Technologie. Siehe http://www.tivoli.com/products/index/secureway_risk_mgr/index.html Die einzelnen Lösungen können durch den Risk Manager von einer zentralen Konsole aus verwaltet werden. "Ein Problem besteht noch durch die vielen Fehlalarme, die dazu führen, dass der Systemmanager viele Funktionen einfach abschaltet", weist Kaiserswerth auf die zukünftige Forschungsarbeit hin.
Die verschiedenen Alarmmeldungen müssten nicht nur korreliert, sondern auch standardisiert werden. Außerdem muss noch die Zuverlässigkeit des Systems weiterentwickelt werden, denn, so Kaiserswerth, "Hacker haben es vor allem auf das Intrusion Detection System abgesehen, daher muss dieses ganz besonders sicher sein."
(Ende)Aussender: | pte.online - Fliegende Redaktion |
Ansprechpartner: | Dr. Anita Staudacher |
E-Mail: | staudacher@pressetext.at |
Website: | www.pressetext.com |