Honigtöpfe gegen Computerviren?

Dezentrale Abwehr der virtuellen Plagegeister

Von Rainer Scharf

Der Kampf gegen Computerviren erinnert bisweilen an den Wettlauf zwischen Hase und Igel. Während die Hersteller von Antivirensoftware ihren Kunden täglich aktualisierte Schutzprogramme gegen die bekannten Viren senden, beginnt sich oft schon das allerneueste Virus auszubreiten, gegen das das Antivirenprogramm machtlos ist. Forscher von der Hebräischen Universität in Jerusalem wollen dem bislang aussichtslosen Wettstreit endlich ein Ende bereiten. Sie haben eine Strategie entwickelt, mit der die Virenabwehr den zerstörerischen Computerviren künftig immer um eine Nasenlänge voraus sein soll.

Computerviren breiten sich gewöhnlich per E-Mail über das ganze Internet aus. Hat ein Virus einen Computer befallen, dann verschickt er sich selbständig in Form einer Kopie an alle im Rechner gespeicherten E-Mail-Adressen, bei denen er weiteren Schaden anrichten kann. Will man das verhindern, muß man möglichst viele gefährdete Computer schnell mit Antivirensoftware „immunisieren”. Die so „geimpften” Computer können dann den Schädling rechtzeitig erkennen und löschen, bevor er weitergegeben werden kann.

Dezentral und Dynamisch

Die Strategien, mit denen man Computer gegen Viren schützt, sind bislang recht statisch und zentral organisiert. Eine Handvoll Firmen, die Antivirensoftware entwickeln, senden Immunisierungsprogramme an jene E-Mail-Adressen, die in ihrer Kundenkartei gespeichert sind. Damit ist natürlich nur ein Teil der gefährdeten Computer zugänglich. Um möglichst alle Rechner erreichen zu können, müßte man stets eine aktuelle Liste der existierenden E-Mail-Adressen haben. Doch eine solche Liste gibt es nicht.

Die Forscher um Jacob Goldenberg empfehlen daher eine Strategie, die dezentral organisiert ist und dynamisch vorgeht. Sie schlagen vor, die Immunisierungsprogramme wie eine „Epidemie” zu verbreiten. Dazu müßten sich die Schutzprogramme wie die Computerviren ausbreiten können, nur daß sie eben einem guten Zwecke dienen. Jeder einmal immunisierte Computer würde das Abwehrprogramm an die ihm bekannten E-Mail-Adressen verschicken.

Ein Netzwerk aus „Honigtöpfen”

Doch das bösartige Virus wäre trotz aller Bemühungen noch immer um eine Nasenlänge vorn. Denn es hätte ja schon zahlreiche Computer befallen, bevor es entdeckt und ein effizientes Abwehrprogramm entwickelt worden wäre. Hier könnte eine weitere Idee der israelischen Forscher helfen: ein Netzwerk aus „Honigtöpfen”. Dabei handelt es sich um Adressen spezieller Programme, sogenannter Agenten, die ein eintreffendes Virus analysieren und ein entsprechendes Immunisierungsprogramm entwickeln. Viele Viren sind entweder simpel gestrickt oder Variationen von schon bekannten Typen, so daß ein entsprechendes Abwehrprogramm meist schnell erzeugt werden kann.

Ist in einem Adressen-Netzwerk eine gewisse Zahl von Honigtöpfen verborgen, bleibt kein schädliches Virus lange unbemerkt. Damit ein aktuelles Immunisierungsprogramm den Vorsprung eines sich verbreitenden Virus aufholen kann, stellt man ihm Expreßwege zwischen den Honigtöpfen zur Verfügung, die den Computerviren versperrt sind. Ein von einem Honigtopf entwickeltes Immunisierungsprogramm kann auf diesen Wegen umgehend alle anderen Agenten erreichen, die ihrerseits das Schutzprogramm an die Computer weitergeben, die jeweils in ihren Adreßlisten stehen. So verbreitet sich das Antivirenprogramm wie ein gutartiges Computervirus.

Auch „gutartige” Viren unkontrollierbar?

Die Forscher haben zumindest in Simulationen demonstrieren können, daß es den Immunisierungsprogrammen dank der Expreßwege möglich ist, den Viren zuvorzukommen und fast alle gefährdeten Computer zu schützen. Wie Jacob Goldenberg und seine Kollegen in der Zeitschrift „Nature Physics” (Bd. 1, S. 184) berichten, bestanden die den Berechnungen zugrundeliegenden Netzwerke aus 25 000 bis 200 000 Adressen. Nur etwa 0,1 Prozent davon waren Honigtöpfe. Das Ergebnis ist bestechend: Je größer das Netzwerk aus Adressen ist, desto geringer ist der Anteil der infizierten Computer, bis er schließlich gänzlich verschwindet. Dabei reicht offensichtlich ein Bruchteil an Agenten aus. Angesichts der Resultate sind Jacob Goldenberg und seine Kollegen überzeugt, daß ihre Strategie im Kampf gegen die Computerviren erfolgreich sein wird.

Der amerikanische Computersicherheitsexperte Bruce Schneier bezweifelt allerdings, daß man Viren jemals erfolgreich mit Viren bekämpfen kann. Einmal losgelassen, wären nach seiner Ansicht auch „gutartige” Viren unkontrollierbar. Diese könnten recht schnell dadurch bösartig werden, daß sie Datenleitungen verstopfen oder versehentlich Computer lahmlegen, statt ihrer eigentlichen Aufgabe nachzugehen. So könnte Wohltat schnell zur Plage werden - und der Antivirenspezialist zum Zauberlehrling. Bleiben uns die Computerviren am Ende also doch stets eine Nasenlänge voraus?

Text: F.A.Z., 04.01.2006, Nr. 3 / Seite N2