Foto: Schöne

IT-Defense 2012

Wachsam wie die Erdmännchen

Die gemeinnützige OISF-Initiative und ihr Präsident Matthew Jonkman wollen frischen Wind in die Intrusion Detection System (IDS)-Szene bringen. Auf der Sicherheitskonferenz IT-Defense 2012 gab der IDS-Spezialist einen Einblick in die Zukunft der Systeme zur Angriffserkennung.

Jonkman stellte in München sein Vorhaben im Rahmen der IT-Defense 2012 der Firma Cirosec vor. Er und seine Mitarbeiter wollen im Rahmen des „Suricata“-Projektes der Open Information Security Foundation (OISF) einen Nachfolger des freien Network Intrusion Detection Systems „Snort“ programmieren und so die nächste Generation von Intrusion Detection Systemen definieren.

OISF ist eine gemeinnützige Organisation, die vom US-Heimatschutzministerium und von Industriepartnern finanziert wird. Die OISF treibt Suricata voran, ein IDS-System der nächsten Generation, das eine Antwort auf die neuen Herausforderungen der Netzwerkabsicherung, Malware-Erkennung und Daten-Exfiltration geben soll.

Die Forschungen sind nötig, da ständig neue Angriffsvektoren auf Netzwerke gefunden werden. Erst Tage vor der Konferenz wurden bislang unbekannte Risiken in CnC Kanälen (Command and Control Channel) wie sie von kriminellen Botnets verwendet werden, die fremde Rechner mit Hilfe eines Trojaners übernehmen und später in ihrem Sinne fernsteuern.

Der Name Suricata (auf Deutsch: Erdmännchen) zollt einer sicherheitsbewussten Tierart Respekt, die stets einige Gruppenmitglieder zum Wacheschieben abordnet. Ähnlich wie Snort analysiert Suricata den gesamten Netzwerk-Datenverkehr anhand von bekannten, charakteristischen Mustern und wehrt so Angriffe ab.

„Das Projekt macht dort weiter, wo Snort bislang aufhört, weil es am nötigen Antrieb fehlt“, erläutert Jonkman. „Die Industrie will nur Geräte verkaufen, sie entwickelt die Technologie nicht weiter.“ Obwohl gemeinnützig, leistet man sich einen Stamm von internationalen Profis, die bezahlt werden. „Snort startete als ein Hobby“, so Jonkman“, aber Suricata ist zu komplex, um es als Wochenend-Projekt voranzutreiben.“

Das Geld stammt unter anderem vom US-Heimatschutzministerium. Trotzdem ist Suricata ein gemeinnütziges Projekt. Bislang hat man rund zehn Milliarden Proben analysiert. Ziel ist es, immer neue Angriffsvarianten in den Datenströmen von Netzwerken zu finden. Matthew Jonkman kommt hier entgegen, dass er Gründer von Emerging Threats ist, der einzige gemeinschaftliche IDS-Regelsatz, der von tausenden Benutzern und Mitwirkenden unterstützt wird.

Absichtlich setzt man bislang noch auf der Signatursprache von Snort auf, will man in Zukunft hier einen neuen Standard setzten, da die bisherige Sprache zu viele Begrenzungen enthalte. Im Zentrum der Entwicklungen steht eine komplett neue IDS Engine, die mehr kann, als alles, was auf dem Markt ist.

„Schon die Ankündigung hat einige kommerzielle Anbieter aufgeschreckt“, so Jonkman. Genau das sei aber auch nötig, da sich in den letzten fünf Jahren wenig bewegt habe. In der IDS-Szene ist Jonkamn allerdings nicht unumstritten. Man wirft ihm vor, nur einen Snort-Klon zu bauen, der zudem noch viel zu langsam arbeite. Legendär sind die teilweise recht giftigen Auseinandersetzungen zwischen Jonkman und Sourcefire-Gründer und Snort-Autor Martin Roesch.

Bernd Schöne, freier Journalist in München