Viren sind nicht die einzigen Computerbedrohungen. Ein EU-Projekt bietet durch die Neutralisierung verborgener Angriffe und gefährlicher Dokumente Schutz gegen eine Bedrohung, die andere Systeme nicht berücksichtigen.

Digitale Wirtschaft

Computerviren und andere bösartige Softwareprogramme sind weitverbreitet. Angriffe, die Anfälligkeiten bei der Speicherkorruption ausnutzen, sind weniger bekannt, jedoch vermutlich sogar gefährlicher, da sie unbeschränkten Systemzugriff verleihen. Das EU-finanzierte Projekt "Malicious code detection using emulation" (MALCODE) möchte einen Schutz bieten. Die Forschung wurde im Rahmen des Marie-Curie-Programms für die Forschungsentwicklung organisiert und der einzige Wissenschaftler der Studie arbeitete drei Jahre lang bis Ende Juni 2013. Das Ziel bestand darin, neue Algorithmen zu entwerfen, zu entwickeln und zu bewerten, um bösartigen Code mithilfe einer Code-Emulation zu erkennen. Malware kann sich selbst unsichtbar machen oder tarnen. Daher besteht ein Vorteil der Technik des Projekts darin, dass bösartiger Code durch seine Aktionen auf Ebene des Maschinenbefehls erkannt wird. Durch die Untersuchung dieser Aktionen möchte das Projekt neue Grundsätze für die Erkennung erstellen. Das Projekt hat seine Ziele mit Erfolg erreicht. Zu den Ergebnissen zählen zwei neue Methoden zur Erkennung von Angriffen auf Netzwerkebene und bösartiger PDF-Dokumente. Bei der ersten Methode werden eine Shellcode-Erkennungstechnik und ein Tool zur Erkennung von Aktionen auf Maschinenebene angewandt, die von verschiedenen Arten von Shellcode angewandt werden. Mit der Technik ist nämlich eine Erkennung möglich, die bei anderen Systemen nicht möglich ist. Die zweite Erkennungstechnik, der sogenannte MDScan, ist ein Dokumenten-Scanner, der versteckte Bedrohungen erkennt, die in PDF-Dateien eingebettet sind. Die zweite Hälfte der Studie führte zu zwei Techniken, mit denen Angriffe auf Grundlage von Return Oriented Programming verhindert werden können. Die Methode erkennt verborgene Gefahren in Datenquellen wie Netzwerkverkehr oder Prozessspeicher und bietet durch integrierten Randomisierungscode Schutz. Somit kann der Schutz auf Drittanbietersoftware angewandt werden, ohne den Prozessor zu verlangsamen. Die Arbeit trug auch zu anderen Bereichen bei, einschließlich Überwachung und Analyse von Netzwerkverkehr sowie Nutzung von Grafikprozessoren für eine schnellere Verarbeitung des Netzwerkverkehrs. Außerdem brachte die Forschung das Thema der Online-Privatsphäre voran und erforschte das Android-Betriebssystem. Das Projekt MALCODE erzielte erhebliche Fortschritte bei der Erkennung von und beim Schutz vor Bedrohungen durch bösartigen Code. Computer und Datensysteme sind dadurch sicherer.

Schlüsselbegriffe

Computerangriff, Speicherkorruption, Systemzugriff, bösartiger Code, Code-Emulation, Malware, Shellcode