Crowdsourcing in der Sicherheit

Man kann all die großartigen Dinge aufzählen, die uns das Internet gebracht hat. Das wäre interessant – aber es wäre vergeblich. Denn in der Zeit, die man dazu braucht, sich an all die tollen Dinge zu erinnern, wären nochmal genau so viele neue fantastische Dinge hinzugekommen. Aber es gibt da eine besondere Internet-Delikatesse, die durch ihren Wert und ihre Wichtigkeit, nie unerwähnt bleiben sollte – nicht mal in einer absoluten Best-Of-Liste des Internets. Diese Idee verdient besondere Ausmerksamkeit. Es ist das Crowdsourcing.

Ich werde nicht auf die Details eingehen – die können Sie mit dem Link oben bei Wikipedia selbst lesen (übrigens ist Wikipedia auch ein Crowdsourcing-Projekt) oder durch eine Suchmaschine finden. Hier beschreibe ich nur kurz die Idee dahinter:

Das WWW erlaubt vielen Leuten auf der ganzen Welt, sehr schnell zusammenzukommen und ihre Kräfte zu vereinen, um alle möglichen schweren Aufgaben zu lösen. Das Resultat ist eine Schwarmintelligenz, ermöglicht durch Gigahertz, Gigabytes und Terabytes von Computern und Kommunikationskanälen. Im Prinzip geht es um den Austausch und die Verteilung von Rechenzeit. Zum Beispiel erinnere ich mich sehr gut daran, wie eine Menge User Ende der Neunziger Jahre in der Nacht ihre Computer ans SETI@Home anschlossen – ein nicht-komzerzielles Projekt, das nach Radiosignalen außerirdischer Zivilisationen suchte. Das Projekt läuft immernoch, mit 1,2 Millionen Helfern und einer Rechenpower von bis zu 1,6 Petaflops.

Vielleicht überrascht es Sie zu hören, dass man Crowdsourcing-Projekte in jedem Lebensbereich finden kann. Und Sicherheit ist da keine Ausnahme. Aktuelle Beispiele: Das internationale Brainstorming, das die Entschlüsselung des Duqu-Frameworks ermöglichte und es möglich machte, das Geheimnis der verschlüsselten Gauss-Payload zu lüften. Für den ersten dieser Fälle haben wir übrigens eine richtig schmeichelhafte Kritik auf Darkreading.com bekommen. Trotzdem sind das noch nicht die besten Beispiel von Crowdsourcing in Aktion.

Das beste Beispiel ist warscheinlich, wie wir (bei KL) jeden Tag 125.000 Malware-Exemplare verarbeiten (im letzten Jahr waren es 70.000). Natürlich helfen Robots und andere Technologien zu Automatisierung und zur Analyse des Datenflusses, aber die wichtigste Zutat – die statistischen Daten – kommen von Ihnen! Ja, von Ihnen! Das System arbeitet sozusagen nach dem Prinzip „eine Hand wäscht die andere“,  und unsere Nutzer helfen uns und sich untereinander dabei, Cyber-Verbrechen auf der ganzen Welt zu verhindern, insbesondere bei der Bewältigung unbekannter Bedrohungen. Und alle helfen anonym und freiwillig, nachdem sie sich dazu bereit erklärt haben – und das, ohne die Leistung des Computers zu beeinträchtigen!

Lassen Sie mich kurz erklären, wie das funktioniert.

Die technologische Infrastruktur für unser Crowdsourcing ist unser Cloud-basiertes KSN (Kaspersky Security Network). Sie können sich dafür anmelden, wenn Sie KIS installieren und es in den Einstellungen jederzeit an- oder ausschalten. Schauen wir uns mal an, wie Crowdsourcing beim KSN funktioniert.

Angenommen, ein Software-Entwickler erschafft ein Programm und lädt es ins Internet. Das Programm interessiert die Nutzer und sie fangen an, es herunter zu laden und zu installieren. Wenn das Programm läuft, entdeckt der traditionelle Antivirus-Scanner nichts böses, doch der proaktive Schutz deutet auf verdächtige Aktivität des Programms hin. KIS schickt dann einen kurzen Bericht (ohne jegliche persönlichen Daten) über diese Aktivität an das KSN. Hier wird die Anfrage durch unser Analysensystem und die Datenbanken gejagt, zusammen mit Millionen anderer Anfragen von KSN-Teilnehmern. Das Urteil, ob das Programm neue, bisher unbekannte Malware enthalten könnte, die das System angreift, wird zurück zu dem Computer des Nutzers geschickt. Wenn kein Urteil gefällt werden kann, können die Nutzer die Reputation des Programms nachschlagen und selbst entscheiden, ob das Programm sicher ist oder nicht. Die ganze Aktion in der Cloud dauert nicht länger als ein paar Sekunden (oder auch weniger – das kommt auf die Schnelligkeit der Verbindung an, und darauf wie beschäftigt das KSN ist).

Websites werden auf die gleiche Weise überprüft. Wenn zum Beispiel das heuristische Anti-Phishing– Modul eine mögliche bösartige Absicht entdeckt, wird die URL sofort zur Analyse an das KSN geschickt. Dann wird auf der Basis der Analysevon Reports anderer Cloud-Teilnehmer das Urteil gleich in Ihrem Browserfenster angezeigt (wenn der URL-Advisor eingeschaltet ist):

Es stimmt, dass bei dieser Art Crowdsourcing schnell auch Probleme auftauchen. Bei richtig komplizierten verdächtigen Elementen, die nicht automatisch analysiert werden können (und davon gibt es täglich Tausende), muss ein Analyst einschreiten. Ja, gute alte Handarbeit. Doch mit welcher fängt man am besten an, wenn man Tausenden von verdächtigen Dateien gegenübersteht, die alle eine Bedrohung darstellen können? Man könnte sie natürlich einfach der Reihe nach bearbeiten, so wie sie eben ankommen, und viele Antivirus-Firmen tun das immer noch… und hören dann in den Nachrichten über neue Ausbrüche :). Sie können es sich denken: Wir sind nicht so lahm. Hier bedarf es einer Technologie, die Prioritäten im eingehenden Datenfluss verdächtiger Objekte festlegt. Und auch hier kommt wieder das clevere Crowdsourcing ins Spiel.

Wie sortieren wir also das Feedback der KSN-Teilnehmer? Auf Grundlage der Quellenbewertung natürlich! Ich denke, Sie werden mir zustimmen, dass es logisch ist, der persönlichen Einschätzung eines technisch versierten Experten mehr Gewicht zu geben, als der eines Anfängers. Aber wie kann man sie unterscheiden? Wer ist der Experte und wer der Anfänger?

Nun, mehrere Jahre haben wir bereits Technologien entwickelt, die Nutzer kategorisieren (hierfür haben wir vor kurzem drei Patente in den USA bekommen – 820975882149048214905). Ihr Ziel ist es, die Expertise von Nutzern auf der Basis mehrerer Faktoren zu beurteilen, die sich zum einen bei der Installierung (statische Beurteilung) und zum anderen bei der Nutzung (dynamische Beurteilung) der Antivirus-Software zeigen.

Im ersten Fall schauen wir uns an, welche Art der Installierung ausgewählt wird (normale oder für fortgeschrittene Nutzer), ob das interaktive Modul aktiviert ist und andere nicht-personalisierte Dinge. Für die zweite Beurteilung analysieren wir das KSN-Feedback des Nutzers, inklusive der Quantität und Qualität der gemeldeten Bedrohungen, dem Anteil falscher Meldungen, der Reaktionsschnelligkeit und mehr. Je höher die  Bewertung der Quelle, desto mehr Gewicht wird natürlich seinem Urteil zugeteilt, und damit ist auch die Priorität höher, die der Bearbeitung seiner Daten zugesprochen wird.

Am Ende gehören nur ungefähr fünf Prozent aller KSN-Teilnehmer der Kategorie der Experten an. Das sind aber immer noch mehrere Millionen gut qualifizierter Nutzer mit dem nötigen Level an Know-how, um unbekannte Bedrohungen zu entdecken. Wir denken darüber nach, vielleicht sogar in der nächsten Version von KIS, den besonders begabten KSN-Mitgliedern Abzeichen zu verleihen, die vielleicht dazu genutzt werden können, um das Interface des Produktes zu dekorieren oder vielleicht sogar auch, um bei Facebook damit anzugeben!

So kommen Nutzer beim Crowdsourcing zusammen und vereinen ihre Kräfte, um effektive Schlachten gegen Cyberverbrechen zu führen! Das wichtigste ist, dass alle Teilnehmer unabhängig von ihrem persönlichen Beitrag, alle Vorteile des KSN-Crowdsourcing genießen können. Genial.

Kommentare lesen 1
Kommentare 0 Hinterlassen Sie eine Nachricht.
Trackbacks 1

Warum weigern wir uns, alles zu verweigern? | Nota Bene

Hinterlassen Sie eine Nachricht.