Virensuche mit Zufallsdaten

Ein Wissenschaftler von Xerox PARC hat ein Konzept gegen Schadsoftware auf Smartphones entwickelt, das nicht wie Antivirensoftware Virensignaturen sucht, sondern messbare Veränderungen im Gerätespeicher.

Der Siegeszug der Smartphones hat seinen Preis: Je mehr Menschen mit ihnen telefonieren und surfen, desto interessanter werden sie als Angriffsziel für Cyberkriminelle. Auf der RSA-Konferenz in San Francisco hat Markus Jakobsson, Wissenschaftler am renommierten Xerox PARC-Forschungszentrum, nun ein neues Abwehrkonzept vorgestellt. Mit dem könne man sogar sogar unbekannte Digitalschädlinge bekämpfen – ohne allzu viel Rechenleistung in Beschlag zu nehmen und den Stromverbrauch nennenswert zu erhöhen, versicherte er der versammelten Expertenschar.

Herkömmliche Abwehrmethoden, wie sie seit langem auf Desktop PCs angewendet werden, lassen sich laut Jakobsson nicht einfach auf Smartphones übertragen. Antiviren-Software identifiziert Schädlinge, indem sie kontinuierlich neu hinzugekommene Dateien mit bekannten Virussignaturen in einer umfangreichen Datenbank vergleicht. Dieser Prozess läuft im Hintergrund ab. Die Prozessoren mobiler Endgeräte seien hierfür jedoch nicht stark genug, sagt Jakobsson. Sein Ansatz nutzt stattdessen einen zentralen Server, der den Speicher des Geräts nach verräterischen Datenspuren durchsucht, ohne dabei hinter bestimmten Virussignaturen her zu sein.

Auch auf mobilen Geräten gibt es zwei Arten von Speicher: einen Arbeitsspeicher (RAM) für die aktiven Programme und einen sekundären, auf dem Daten abgelegt sind, die gerade nicht genutzt werden. Jakobssons System nimmt zunächst eine Art Eichung an einem virenfreien Gerät vor: Es schaltet alle Programme ab, die für den Betrieb des Smartphones an sich nicht nötig sind, zum Beispiel Emailanwendungen oder Browser. Dann laufen also nur Betriebssystem und das Abwehrprogramm. In diesem Zustand erstellt es einen „Fingerabdruck“ des Arbeitsspeichers.

Hat das Gerät sich nun eine Schadsoftware eingefangen, wird diese einen Teil des RAM-Speichers beanspruchen, um ihre Befehle ausführen zu können. Wenn der zentrale Server das nächste Mal das Abwehrsystem kontaktiert, wird gemessen, wieviel RAM-Speicher aktuell nicht belegt ist. Dazu werden alle freien Speicherblöcke mit Zufallsdaten vollgeschrieben. Anschließend vergleicht das System diese Datenmenge mit der aus dem Eichprozess, als das Gerät virenfrei war.

Unterscheiden sich beide, verrät die Differenz die Anwesenheit einer Schadsoftware. Die könnte zwar im Prinzip dem Abwehrsystem erlauben, auch seinen eigenen RAM-Bereich vollzuschreiben, um sich so zu verstecken, sagt Jakobsson. Dann könnte sie aber anschließend nicht in Aktion treten. Die zweite Möglichkeit wäre, dass ein Virus Daten im Sekundärspeicher ablegt. Das wiederum würde die Antwort auf Anfragen des Zentralservers messbar verlangsamen, was ebenfalls ein positiver Befund wäre.
Fallen beide Tests negativ aus, sei zumindest sicher, dass keine Schadsoftware aktiv ist, sagt Jakobsson. Im nächsten Schritt scannt das System den Sekundärspeicher auf versteckte, aber inaktive Viren ab. Auf der RSA-Konferenz zeigte der Xerox-PARC-Forscher ein Live-Demo auf einem Smartphone mit dem Android-Betriebssystem.

Das System könne zwar nicht verhindern, dass Schadsoftware auf ein mobiles Gerät gelangt, sagt Jakobsson. Es könne aber zum Beispiel vor einer wichtigen Datenübermittlung oder in regelmäßigen Abständen herausfinden, ob das Gerät infiziert ist. Laut Jakobsson sei es auch als Reserve-Sicherheitssystem zusätzlich zu herkömmlicher Antivirensoftware einsetzbar.

Aurélien Francillon, IT-Sicherheitsforscher an der ETH Zürich, ist noch unschlüssig, was von dem Konzept zu halten ist. „Das Verfahren ist sicher von namhaften Wissenschaftlern aus der Community entwickelt worden, da steckt eine Menge Arbeit drin“, sagt er. Man müsse es jedoch erst sorgfältig analysieren.

Skeptisch sieht Francillon zum einen, sich auch auf eine Verlängerung der Antwortzeit zu verlassen. Die könnte auch von einer Überlastung des Mobilfunknetzes herrühren und die Signalverzögerung des Abwehrsystems an den zentralen Server überlagern. Zum anderen sei es vorstellbar, dass die Urheber von Schadsoftware direkt den Code von Jakobssons Abwehrprogramm angreifen.

Die Infektion von Smartphones sei derzeit aber noch ein akademisches Problem, wiegelt Mikko Hyppönen, Chefwissenschaftler der finnischen IT-Sicherheitsfirma F-Secure, ab. Bislang seien nur ein paar hundert mobile Schadprogramme bekannt, während es bei PCs bereits Millionen seien. Außerdem würden sie noch nicht die ausgeklügelten Tarnmechanismen ihrer Desktop-Gegenstücke verwenden.

So ist für Hyppönen zurzeit die wichtigere Frage, wie man gestohlene Smartphones schützt. Im Laufe der nächsten Jahre werde mobile Schadsoftware aber ein Thema, ist er sich sicher. Und dann könnte ein Konzept wie das von Jakobsson sehr hilfreich sein.

Der will es nun mit dem Start-up FatSkunk zum fertigen Produkt entwickeln. Die Smart-Phone-Hersteller sollen ihre Neugeräte dann im Idealfall gleich mit seinem Code ausliefern. Wollen andere Unternehmen, etwa Banken oder Hersteller von Antivirensoftware, das System übernehmen, würden sie den Geräteherstellern und Fatskunk eine Lizenzgebühr zahlen. (nbo)