Sichere Kommunikation dank Künstlicher Intelligenz im DNS-Resolver
Aktuell ist fast alles Wichtige mit dem Internet verbunden. Auch an Dingen, die früher überhaupt keinen Anschluss benötigten, finden Sie heute einen Datenanschluss.
Zuverlässiges Internet für Haushalte bedeutet Unterhaltung, Bildung, Internet-Kabel-TV, Fernsteuerung des Thermostats oder Wohnungs- bzw. Haussicherung. Es ist die vierte industrielle Revolution — neben den Möglichkeiten bringt sie aber auch Risiken.
Der weltweite Internetverkehr ist komplex; es handelt sich um eine offene Struktur, und jeder kann mit jedem kommunizieren. Das nutzen verschiedene Organisationen aus, die keine guten Absichten haben. Ihr Ziel ist das Eindringen in den Computer eines jeden von uns und mithilfe Künstlicher Intelligenz wertvolle Daten zu finden. Kriminelle versuchen auch, das Heimnetz zu übernehmen, um damit ihren Code verdeckt in die Welt zu verbreiten. Es gibt so viele mögliche Bedrohungen — doch jede Malware muss aus dem infizierten Netz heraus kommunizieren. Sie will unsere Netze übernehmen und aus ihnen kommunizieren. Und hier liegt ihre Schwäche.
TIPP: Lesen Sie auch unseren Artikel DDoS-Angriffe und Projekt Fénix
Wie funktioniert die Kommunikation eines Haushalts?
Zum Verständnis des Schlüssels zur Internet-Sicherheit muss vereinfacht beschrieben werden, wie die Kommunikation eines Haushalts funktioniert. Daten, die Sie aus dem Raum herunterladen — einschließlich der riskanten — kann der Betreiber rechtlich nicht groß analysieren. Wenn es nicht um einen offensichtlichen Angriff geht, darf der Betreiber ohne Aufforderung des Kunden eingehende Kommunikation nicht blockieren. Es hängt vom Kunden ab, ob er eine wirksame Firewall einrichtet, ob er ein aktualisiertes Betriebssystem und Antivirenprogramm installiert hat.
Ausgehende Kommunikation leitet jeder Heim-Router an den DNS-Server seines Betreibers. Ein solches Gerät übersetzt Domainnamen in IP-Adressen der Zielserver und ermöglicht so die Lenkung der Kommunikation an die Zieladresse. Über den DNS-Server geht jede Kommunikation — auch die des verdeckten schädlichen Codes im heimischen Computer oder in der Sicherungskamera.
Die tschechische Gesellschaft Whalebone erforscht mit Unterstützung der ČVUT in Prag die Möglichkeiten, Künstliche Intelligenz zum Schutz von Haushalten vor den Folgen einer Infektion von Computernetzen einzusetzen. Sie hat ein neuronales Netz entwickelt, das DGA-Kommunikation im DNS-Verkehr von Betreibern automatisch erkennt. In Kombination mit dem laufenden Datenaustausch über Bedrohungen mit anderen Sicherheitsorganisationen stellt es die absolute Spitze beim Schutz von Nutzern dar. Es ist nicht effektiv möglich, auf automatisch — mittels Künstlicher Intelligenz von Bots — generierte Bedrohungen ohne Anwendung derselben Medizin zu reagieren. Das Whalebone-Neuronennetz erstellt mithilfe Künstlicher Intelligenz eine sehr genaue Liste von Zieladressen, die verschiedene Viren zur Kommunikation aus dem infizierten Gerät verwenden. Whalebone blockiert mittels automatischer Erkennung gemeinsamer Merkmale der Kommunikation schädlichen Codes diese — oder bietet sie dem Administrator zur Blockierung an. Künstliche Intelligenz kombiniert die Kenntnis bereits beschriebener Bedrohungen mit Millionen von Daten, die dieses neuronale Netz aus dem überwachten Verkehr ausliest.
Die ausgewerteten Daten übergibt es direkt an den DNS-Resolver, der so mit unglaublicher Präzision die Kommunikation und Verbreitung von Viren über das Internet blockiert.
Aus dem beigefügten Diagramm ist die Anzahl der Anfragen aus einem Netzsegment ersichtlich.
Im Zeitraum vom 11.9. bis 23.9. wurden 30 000 Malware-Anfragen detektiert, Anfragen zu Bedrohungen, die als Übernahme des Computers durch ein Botnet ausgewertet wurden, gab es 68 000, und Kunden des Betreibers wären insgesamt 1000-mal beinahe Opfer eines Phishing-Angriffs geworden. Es stimmt, dass das Diagramm aus einer Hauptverkehrszeit der Botnets stammt. Doch jedes weitere Diagramm zeigt, dass Sicherheitsmaßnahmen auch bei Haushalten am Platz sind.
Wollten Sie herausfinden, ob Ihre IP-Adresse jemals zur Kommunikation von Bots verwendet wurde und eine solche Kommunikation als riskant ausgewertet wurde? Testen Sie Ihre IP-Adresse hier: https://amihacked.turris.cz/. Mit Internet-Sicherheit beschäftigt sich auch das Projekt Turris des tschechischen Domain-Verwalters, des Verbands CZ.NIC.
In einem weiteren Artikel widmen wir uns der Heim-Firewall und Möglichkeiten zur Verhinderung von Infektionen. Insbesondere in einer Zeit der zunehmenden Anzahl von Geräten und Diensten, die wir alle nutzen, ist die Methode der Kommunikationsverbreitungs-Verhinderung am wirksamsten. Uns schützt Künstliche Intelligenz, ein neuronales Netz, das alle Bedrohungen im Verkehr analysiert und uns im Hintergrund schützt, ohne den Komfort bei der Nutzung der Internet-Dienste der nächsten Generation zu verringern.
Glossar:
Denial of Service (DoS)
Eine Art Angriff auf einen Internetdienst, dessen Ziel die Lahmlegung des jeweiligen Dienstes ist. Dieses Ziel wird oft durch das Senden einer großen Anzahl von Anfragen an den jeweiligen Dienst oder durch Ausnutzung eines Fehlers auf Seiten des Dienstes erreicht. Häufig wird die verteilte Version dieses Angriffs verwendet (DDoS), die für den Angriff eine große Anzahl verschiedener verstreuter Maschinen nutzt. Im Betrieb ist ein häufiger Indikator eine große Anzahl (hundert- bis tausendfache) Anfragen in kurzer Zeit (wenige Stunden, maximal wenige Tage).
DDoS Slow Drip
Diese Art Angriff nutzt eine große Anzahl von Maschinen zum Senden einer relativ geringen Anzahl unterschobener Anfragen an Zielserver. Der Angreifer kauft die Domain xyz.com und richtet die Einträge ihrer Nameserver auf das Opfer (kvalitni-internet.cz). Die Anfrage wird an die Standard-DNS-Resolver der infizierten Maschine gestellt. Die Resolver kontaktieren anschließend die Nameserver, die die Ziel-Domain (xyz.com) verwalten. Die infizierte Maschine generiert einen Angriff auf eine große Anzahl zufälliger und nicht existierender Sub-Domains (sdvpanva641vd.xyz.com). Der erste, der diese Anfrage erhält, ist der Cache des DNS-Resolvers, der diese Einträge nicht bei sich gespeichert hat. Daher müssen die Resolver weitere autoritative Nameserver der jeweiligen Domain (xyz.com) befragen, wodurch sie die Nameserver kvalitni-internet.cz überlasten, die nicht antworten können. Die resultierende Antwort lautet also SERVFAIL (der Resolver kann dem Klienten nicht entsprechen).
Domain Generation Algorithms (DGA)
Botnets, die auf Domain Generation Algorithm (DGA) basieren, suchen ihren steuernden C&C-Server (Control and Command), indem sie eine Menge von Domains generieren, die sich in der Zeit unterscheiden kann (typischerweise wird sie täglich generiert). Der Botnet-Eigentümer registriert eine dieser Domains im Voraus und sichert so, dass infizierte Maschinen den C&C-Server kontaktieren und neue Anweisungen entgegennehmen können.
Das Whalebone-Neuronennetz erkennt zufällig aussehende Domains, z. B. ywhwroqfqd.com, ysxmushmjr.info
Botnet
Eine Gruppe infizierter und übernommener Maschinen, die von einem Kontrollzentrum (C&C) gesteuert werden und für DDoS-Angriffe, Spam-Versand, Angriffe auf Bankkonten etc. dienen.
Aktualisierung 16.2.2024
