Kefk Network : P2P (Peer-to-Peer)  |  About |   P2pWikiWeb		 Suchen | Index | Inhalt | Site Map | What's New?

 
Akteure | Alternativen | Analyse | Anbieter | Anwendungen | Entwicklung | Forschung | Geschichte | Gesellschaft | Grundlagen | Infrastruktur | Literatur | Markt | Motivation | Perspektiven | Problemfelder | Ressourcen | Spektrum | Thesen | Wirtschaft.

 

 

Analyse von P2P-Anwendungen

Analyse : Übersicht
03-May-2002/14-Jan-07

Übersicht

Das Internet bietet längst kein freundliches Umfeld mehr; mit der zunehmenden Kommerzialisierung ab Mitte der 90er Jahre nahm auch die Kriminalität zu. Internet-Teilnehmer sehen sich heute einer Vielzahl von Bedrohungen ausgesetzt, deren Abwehr bereits jetzt viel zu zeitaufwändig ist; deren wohl harmloseste ist Spam, gefährlicher sind Viren, Trojaner und Würmer; bedenklich ist das das Aushöhlen der Privatspäre und das damit verbundene Unterlaufen aller Grundsätze des Datenschutzes. Für Netzwerk- und Systemadministratoren stellt sich die Situation noch weitaus kritischer dar: Angriffe aus dem Internet können ganze Firmenexistenzen zerstören. Zunehmend offensive Awehrmassnahmen, angefangen von mehrstufigen Firewalls über IDS-/IRS-Systeme und restiriktive Sicherheitsrichtlinien sind die Folge.

Benutzer von P2P-Anwendungen sehen sich konfrontiert mit einem um ein Vielfaches potenzierten Risiko: Wer bisher Daten nur von als vertrauswürdig eingestuften Websites und FTP-Servern herunterlud und die Signuturen seines Virenscanners regelmässig aktualisierte lebte mit einem kalkulierbaren Restrisiko. Erfahrene Anwender von Usenet und IRC haben längere Erfahrungen mit einer anonymen Gruppe von Kommunikations- und Tauschpartnern; hier haben sich eigene Regeln etabliert, um das Gegenüber als vertrauenswürdig einzustufen -- oder es doch lieber bleiben zu lassen. In P2P-Tauschbörsen à la Morpheus und KaZaA weiss man i.d.R. überhaupt nicht mehr, mit wem man es zu tun hat. Jede heruntergeladene Datei kann ein Fake sein oder Viren enthalten. Auch Administratoren wissen ein Lied zu singen von Anwendern im LAN, die sich über eine Tauschbörse Viren eingefangen haben -- was unter Windows aussieht wie <dateiname.mp3> muss keine MP3-Datei sein, ohne entsprechende Konfiguration des Desktops und nähere Prüfung kann es sich auch um malicious code in <dateiname.mp3.vbs> handeln, falls standardmässig die Anzeige der Extension deaktiviert ist. Auch einfache Firewalls helfen hier nur wenig, da mittlerweile nahezu alle P2P-Anwendungen problemlos über den meist für http freigeschalteten Port 80 gehen können.

Geradezu als perfide erweisen sich P2P-Anwendungen, die Spyware ins System einschleusen, von denen bisher niemand mit Sicherheit zu sagen bereit oder in der Lage ist, was sie eigentlich tun. Mittlerweile sind sogar Fälle bekannt geworden, in denen angeblich nicht einmal der Anbieter der Software von den verborgenen Funktionen der kleinen "Add-ons" wusste, die er zur Finanzierung seines Produkts der Installation beifügte.

Auch nicht viel besser sieht es bei anderen P2P-Anwendungen aus; Instant Messenger wie ICQ spammen den Benutzer zu mit unerwünschten Werbemitteilungen und die Arbeit, die ein Distributed-Computation-Client verrichtet kann der Normalanwender überhaupt nicht nachvollziehen. Lässt er seinen Rechner für ein gemeinnütziges Projekt zum Finden eines Wirkstoffs gegen Milzbrand arbeiten, oder hilft er mit, eine neue Atombombe zu berechnen?

Im Folgenden werden einige Ansätze vorgestellt, um dem Treiben von P2P-Anwendungen auf die Schliche zu kommen.

Details:

  • Tools - Exemplarische Auswahl einige Tools für Monitoring und Analyse.
  • Security - Detaillierte Informationen über Sicherheit in vernetzten Umgebungen.

Grundsätze

"Obskure Anwendungen" sind Programme oder Codefragmente aus möglicherweise nicht verrtauenswürdigen Quellen.

Es gibt zwei Grundsätze im Umgang mit obskuren Anwendungen:

  • Bemerkt der User ungewöhnliche Netzwerkaktivitäten, wird der "Draht" sofort physikalisch unterbrochen, entweder durch Abziehen des Netzwerkkabels aus der Netzwerkkarte oder des Modemkabels aus der Telefonbuchse.

Ohne Netzwerkverbindung kann der Schaden für ein LAN oder durch einen möglicherweise unwissentlich von dem eigenen Rechner ausgeführen Angriff auf einen fremden Host im Internet möglicherweise noch begrenzt werden. Ohne Netzwerkverbindung kann auch die forensische Analyse gefahrlos durchgeführt werden.

  • Bemerkt der User ungewöhnliche Aktivitäten auf seinem Rechner -- beispielsweise übermässige Festplattenaktivität oder anhaltende Vollast der CPU -- wird der Rechner ausgeschaltet, notfalls durch Abziehen des Netzsteckers.

Jetzt kann beispielsweise die Festplatte in einen anderen Rechner eingebaut und untersucht werden. Falls gerade eine Datenmanipulation begonen hat, können möglicherweise noch einige Daten gerettet werden.

Ausnahmen von diesen Regel gibt es nicht, es sei denn, der betreffende Rechner dient ausschliesslich der Analyse der obskuren Anwendung (z.B. Honeypot oder Honeynet).

Permanentes Monitoring

Jede Analyse beginnt mit dem kontinuierlichen Monitoring der Aktivitäten auf dem betreffenden Rechner:

  • Ein leistungsfähiger Virenscanner mit akuellen Signaturen schützt vor bekannten Viren, Trojanern und Würmern. Verfügt der Scanner über heuristische Funktionen, kann möglicherweise auch malicious code identifiziert werden.
  • Eine Personal Firewall hilft dabei, Aktivitäten bestimmter Programme zu identifizieren.
  • Unter Windows hilft ein Registry Monitor, Manipulationen durch obskure Anwendungen auf die Schliche zu kommen. Deratige Tools können beispielsweise die Registry im Hintergrund auf neue Einträge in die Autostart-Bereiche überwachen und fragen dann ggf. nach, ob entsprechende Einträge tatsächliche hinzugefügt werden sollen.
  • Spezialisierte Programme wie BlackICE ermöglichen zumindest eine rudimentäre Intrusion Detection; leistungsfähiger sind jedoch Systeme wie Snort bzw. die Benutzeroberfläche IDScenter.
  • In grösseren Netzwerken setzt man Tools zum Network Monitoring ein wie SAINT.

Fallbezogenes Monitoring

Vor der Installation einer obskuren Software kann man einige Massnahmen ergreifen:

  • Starten eines Netzwerk-Analyzers wie Ethereal bzw. eines Sniffer wie tcpdump und Mitloggen des Datenverkehrs auf der Leitung.

Nach der Installation einer obskuren Software kann man einige Massnahmen ergreifen:

  • Analyse auf Befall durch Spyware mit Tools wie Lavasoft Ad-aware;
  • Überprüfung auf Viren durch Deepscan oder ähnliche Funktionen.

Reaktion auf Angriffsversuche

Dieses Thema ist nicht Gegenstand dieses Abschnitts, hingewiesen sei an dieser Stelle jedoch auf einige Möglichkeiten:

  • Intrusion Response Systems (IRS),
  • proaktive Massnahmen wie ORBS oder ORDB.

ToC

Tools

Anmerkungen

Forum: Systeme (Anmerkungen in diesem Forum: 0)

Neue Anmerkung verfassen
Darstellungsmodus : Alle | Voransicht | Nur Titel | Aktualisieren
Besuchen Sie 2eNetWorX und Open Source & Free Software für weitere freie Software-Projekte unter Win32.
Analyse
Nach oben
Tools
Wer ist online?:
Name: Besucher
Online: 42 aktive User.
Login | Logout
Literatur zu P2P (mehr)
Von Detlef Schoder, Kai Fischbach und René Teichmann:
»Peer-to- Peer. Ökonomische, technologische und juristische Perspektiven«
Von Andy Oram:
»Peer-to-Peer. Harnessing the Power of Disruptive Technologies«
Von Dana Moore und Joseph Hebeler:
»Peer-to-Peer«
Von Michael Miller:
»Discovering P2P«
Von David Barkai:
»Peer to Peer Computing. Technologies for Sharing and Collaborating on the Net«
Von Hassan Fattah:
»P2P. How Peer-to-Peer Technology Is Revolutionizing the Way We Do Business«
Von Bo Leuf & 
Ward Cunningham:
»The Wiki Way. Quick Collaboration on the Web«
Von Bo Leuf:
»Peer to Peer. Collaboration and Sharing on the Internet«
Von Rebecca Blood:
»We've Got Blog. How Weblogs are Changing Our Culture«
»The Weblog Handbook. Practical Advice on Creating and Maintaining Your Blog«

 

Zurück ] P2P ] Nach oben ] Weiter ]

URL: http://www.kefk.net/P2P/Analyse/index.asp.
Translate this page into: 
Switch language: de | en | fr | it | es | pt | no | ru | ar | ja | zh | ko | ms | ts | id.
WebsiteAbout | Index | Inhalt | Site Map | Suchen | What's new?.
Foren | Statistik | Umfragen | Wer ist online? | Wiki.
Thematisch verwandte Sites: Internet | Kabelnetze | Networking | Open Source | Politik | Recht | Wissen | xDSL.
Ergänzungen, Fragen und Kommentare: Bitte nutzen Sie die Foren.
E-Mail: echo "asb at keNOSPAMfk.net"| sed -e "s/ at /@/" -e "s/NOSPAM//".
Copyright | Haftungsausschluss | Impressum | Kontakt | Rechtliche Hinweise.