Die Bundesregierung auf dem diesjährigen IT-Gipfel, der an diesem Dienstag in Stuttgart stattgefunden hat, angekündigt, ein Beratungszentrum für PC-Nutzer einzurichten. Die neue Behörde mit 40 Mitarbeitern soll Bürgern helfen, sich gegen Malware zu wehren. Oberstes Ziel: Deutschland soll nicht länger zu den Top Ten der Länder gehören, von denen Cyberkriminalität ausgeht. Die Experten von MessageLabs Intelligence halten diese Entscheidung für richtig, da Kenntnisse über die Gefahren von Malware und Botnetzen in Zukunft immer wichtiger werden. Die Infrastruktur der illegalen Netzwerke entwickelt sich nämlich rasant: Laut Experten von Symantec Hosted Services kontrollieren die zehn Schwergewichte unter den Botnetzen, zu denen beispielsweise Cutwail, Rustock und Mega-D gehören, derzeit mindestens fünf Millionen infizierte Computer. "Die Betreiber der Netze haben nach der Abschaltung von Internet Service Providern (ISPs) wie McColo Ende 2008 und Real Host im August 2009 die Backup-Strategie für ihre Kommando- und Kontrollsysteme überarbeitet und erweitert", erklärt Paul Wood, MessageLabs Intelligence Senior Analyst bei Symantec Hosted Services. "Die Schließungen hatten die kriminellen Aktivitäten für einige Zeit ausgebremst. Statt innerhalb von Wochen oder Monaten erholen sich die Botnetze nun allerdings binnen Stunden von solchen Schlägen." Das deutet auf einen Trend hin: Voraussichtlich entwickeln Botnetze 2010 autonome Intelligenz. Jeder Rechenknoten enthält dann autarken Programm-Code und sichert so sein eigenes Überleben.
In den vergangenen zwölf Monaten hat sich die Technologie der Malware, mit der Botnetze erzeugt werden, zudem deutlich verbessert. Kernel-Rootkits - also Tarnsoftware, die Teile des Betriebssystemkerns ersetzt, um sich und ihre Aktivitäten zu verbergen - werden hier zur Norm. "Kugelsichere" Dienste setzen auf Fast-Flux. Hierbei handelt es sich um eine Domain Name Service (DNS)-Technologie, mit der sich schädliche Websites verbergen lassen, die das Botnetz bereitstellt. Die Websites sind hinter einer ständig wechselnden Liste von IP-Adressen gekaperter Rechner versteckt, die als Web-Server oder Verteiler so genannte Proxy-Server - dienen. Die enorm verkürzten Erholungsphasen der Netze deuten auf eine Backup-Strategie ihrer Kontrolleure hin. MessageLabs Intelligence vermutet, dass hier "Schläfer"-Bots zum Einsatz kommen, die normalerweise nicht aktiv sind und nur bei Bedarf "geweckt" werden.
Im Lauf des Jahres haben Botnetze verstärkt auf peertopeer(P2P)-Technologie als Kontrollmechanismus gesetzt. Dadurch konnten sie entscheidende Schwachstellen umgehen, wie etwa den Datenverkehr über nur einen kriminellen ISP. In P2P-Botnetzen lernen die einzelnen Rechner von anderen Computern im Netz und tauschen Informationen untereinander aus. Anweisungen müssen nur noch an einzelne Zombie-Rechner geschickt werden und verteilen sich anschließend über das gesamte Netzwerk. Die P2P-Kommunikation ist dabei häufig verschlüsselt oder als erwünschter Datenverkehr getarnt, etwa als DNS- oder HTTP-Anfragen.
Im kommenden Jahr werden Botnetze nach Einschätzung von Symantec Hosted Services noch autonomer und entwickeln künstliche Intelligenz. Die Experten erwarten, dass sie sogar Eigenschaften so genannter Schwarmintelligenz zeigen. Die Betreiber der Zombie-Netze müssen dadurch nicht mehr aufwändig die Lebensdauer ihrer Infrastruktur verlängern. Stattdessen haben sie Zeit, sich auf deren eigentlichen Zweck zu konzentrieren: Spamversand und andere kriminelle Machenschaften. Grund zu Optimismus gibt die Tatsache, dass jeder gekaperte Rechner auch einen Besitzer hat. Ausreichend aufgeklärte Nutzer, die sich selbst gegen Malware schützen und ihre Rechner sauber halten, erschweren den Cyberkriminellen ihre Tätigkeit erheblich.
In den vergangenen zwölf Monaten hat sich die Technologie der Malware, mit der Botnetze erzeugt werden, zudem deutlich verbessert. Kernel-Rootkits - also Tarnsoftware, die Teile des Betriebssystemkerns ersetzt, um sich und ihre Aktivitäten zu verbergen - werden hier zur Norm. "Kugelsichere" Dienste setzen auf Fast-Flux. Hierbei handelt es sich um eine Domain Name Service (DNS)-Technologie, mit der sich schädliche Websites verbergen lassen, die das Botnetz bereitstellt. Die Websites sind hinter einer ständig wechselnden Liste von IP-Adressen gekaperter Rechner versteckt, die als Web-Server oder Verteiler so genannte Proxy-Server - dienen. Die enorm verkürzten Erholungsphasen der Netze deuten auf eine Backup-Strategie ihrer Kontrolleure hin. MessageLabs Intelligence vermutet, dass hier "Schläfer"-Bots zum Einsatz kommen, die normalerweise nicht aktiv sind und nur bei Bedarf "geweckt" werden.
Im Lauf des Jahres haben Botnetze verstärkt auf peertopeer(P2P)-Technologie als Kontrollmechanismus gesetzt. Dadurch konnten sie entscheidende Schwachstellen umgehen, wie etwa den Datenverkehr über nur einen kriminellen ISP. In P2P-Botnetzen lernen die einzelnen Rechner von anderen Computern im Netz und tauschen Informationen untereinander aus. Anweisungen müssen nur noch an einzelne Zombie-Rechner geschickt werden und verteilen sich anschließend über das gesamte Netzwerk. Die P2P-Kommunikation ist dabei häufig verschlüsselt oder als erwünschter Datenverkehr getarnt, etwa als DNS- oder HTTP-Anfragen.
Im kommenden Jahr werden Botnetze nach Einschätzung von Symantec Hosted Services noch autonomer und entwickeln künstliche Intelligenz. Die Experten erwarten, dass sie sogar Eigenschaften so genannter Schwarmintelligenz zeigen. Die Betreiber der Zombie-Netze müssen dadurch nicht mehr aufwändig die Lebensdauer ihrer Infrastruktur verlängern. Stattdessen haben sie Zeit, sich auf deren eigentlichen Zweck zu konzentrieren: Spamversand und andere kriminelle Machenschaften. Grund zu Optimismus gibt die Tatsache, dass jeder gekaperte Rechner auch einen Besitzer hat. Ausreichend aufgeklärte Nutzer, die sich selbst gegen Malware schützen und ihre Rechner sauber halten, erschweren den Cyberkriminellen ihre Tätigkeit erheblich.
