Damaschkes Daily abonnieren (RSS 2.0)
Kleines Wörterbuch der Malware (8)
Zum Wochenausklang folgt auch dieses Mal noch ein weiterer Teil mit Begriffserklärungen aus der “Malware-Szene”. Heute geht es um Bayes-Filter, Social Engineering und Stealth-Modus.Bayes-Filter
Thomas Bayes (1702–1761) war ein englischer Pfarrer und Mathematiker. Seine grundlegenden Arbeiten zur Wahrscheinlichkeitsrechnung bilden die Grundlagen für die so genannten “statistischen Filter”, mit denen sich Spammail von erwünschter Post mit hoher Treffsicherheit trennen lässt. Statt nach starren Phrasen und Zitaten zu suchen, entscheiden diese Filter anhand statistischer Verteilung von Worten und technischen Merkmalen, ob eine Mail Spam ist oder nicht. Zwar müssen sie vom Anwender trainiert werden, doch mit jeder klassifizierten Mail wächst der Textkorpus und damit die Beurteilungsgrundlage der Bayes-Filter an. Schon nach kurzer Zeit erreichen diese Filter eine Genauigkeit von gut 99 Prozent, die üblichen Viagra-Spams werden praktisch sofort erkannt.
Social Engineering
Der Mensch vor dem Computer ist immer noch der beste Angriffspunkt, wenn es darum geht, in ein technisch gut gesichertes System einzudringen. Die dabei eingesetzten Methoden werden ein wenig pompös als Social Engineering bezeichnet. Letztlich geht es darum, jemanden so zu beschwatzen, dass er früher oder später sensible Daten wie etwa Kennwörter ausplaudert.
Wenn man etwa bei seinem Einbruchsversuch in ein Firmennetzwerk mit rein technischen Mitteln nicht weiter kommt, weil man an einer Sicherheitsabfrage scheitert, dann muss man zu anderen Mitteln greifen. Man versucht jemanden zu kontaktieren, der das Kennwort kennt und ihn dazu zu überreden, es zu verraten. Da niemand dergleichen freiwillig tut, muss man ihm irgend eine möglichst plausible Geschichte erzählen, warum er nun doch eine Ausnahme machen muss. Dem Einfallsreichtum der Hacker sind da kaum Grenzen gesetzt und das wahre Können eines Hackers zeigt sich darin, wie gut er das Mittel des “social engineering” beherrscht.
Stealth-Modus
Manche Firewalls bieten als Schutzmethode einen sogenannten “Stealth-Modus” an. Dabei soll sich der Rechner praktisch “unsichtbar” im Internet bewegen und daher keine Angriffsfläche für Schadsofttware aller Art bieten. Technisch realisiert wird dies dadurch, dass sämtliche (unaufgeforderten) Anfragen aus dem Internet kommentarlos ignoriert werden. Das erweckt den Anschein, das unter der IP-Adresse des PCs aktuell kein Gerät zu erreichen ist. Die Wirksamkeit dieser Methode ist allerdings umstritten, da es hinreichende technische Mittel gibt, einen Internet-PC im Stealth-Mode zu erkennen und zu enttarnen. Gleichzeitig erkauft man sich diesen ungewissen Schutz durch die Behinderung anderer Programme und Anwendungen.
Vom Einsatz dieser Option ist also im allgemeinen abzuraten.