
Erzeugung eines Fingerprints für ein Virus: Für mehrere Virenstämme ist nur ein einziger Fingerprint erforderlich, um eine Verbreitung zu verhindern.
Vipul’s Razor, von Vipul Ved Prakash als Open Source-Produkt geschaffen, war das weltweit erste kollaborative Spam-Filter-Netzwerk für Messaging-Security-Anwendungen. Im Jahr 1998 gründete der Entwickler die Firma Cloudmark, die das Konzept heute mit kommerziell verfügbaren Messaging-Security-Lösungen weiterentwickelt und anpasst, etwa auf die Bedürfnisse von Providern.
Das Prinzip von Vipul’s Razor ist nicht schwer zu verstehen: Die Mitglieder einer weltweiten Community melden Spam, den sie erhalten, an eine Zentrale. Dort errechnen komplexe Algorithmen daraus Fingerprints, die es Spam-Filtern wie Spam Assassin später ermöglichen, die unerwünschte Nachricht oder darin enthaltene Viren oder Phishing-Versuche wiederzuerkennen und auszusortieren. Vipul Ved Prakash formuliert es so: “Kollaborative menschliche Intelligenz identifiziert eine Nachricht als Spam und eine automatisierte Technologie verifiziert und verhindert seine Verbreitung.” Dieses Konzept hat sich inzwischen als schnelles und sicheres Anti-Spam-Verfahren bewährt, das sich ohne Eingriff in die Architektur des Mail-Systems leicht an neue Bedrohungen anpassen lässt, indem die Entwickler zusätzliche Fingerprint-Algorithmen integrieren. Im Gegensatz zu regelbasierten oder heuristischen Verfahren, die kontinuierliche Updates und viel Rechenleistung erfordern, sind Spam-Fingerprints kompakt und weniger ressourcenintensiv.
Das Security-Netzwerk
Das Cloudmark Global Threat-Netzwerk, ein kollaboratives Security-Netzwerk von Benutzern, hatte ursprünglich einige tausend Mitglieder in der Razor-Community. Die Einführung der kommerziellen Lösungen bei Service Providern, Unternehmen und Endkunden erweiterte es beträchtlich. Das Netzwerk umfasst heute über 300 Millionen berichtende Mitglieder in 165 Ländern. Die Größe und geografische Reichweite des Netzwerks sowie die Reputation der Berichterstatter sind laut Hersteller wichtige Faktoren für eine hohe Genauigkeit.
Und: Der Prozess der kollektiven Entscheidungsfindung verkürzt die Schulungs- und Lernkurve des Spam-Filters und verringert Fehlbeurteilungen von Nachrichten. Ved Prakash meint: “Die Veringerung der Kosten für Training und Genauigkeit, insbesondere im Hinblick auf False-Positives, ist die Hauptmotivation für kollaborative Spam-Filterarchitekturen wie Vipul’s Razor und seine Nachfolgeprodukte.”
Das weltweite System der Melder erleichtert auch die Spam-Erkennung in verschiedenen Sprachen. Gleichzeitig macht die Sprachunabhängigkeit der Fingerprinting-Algorithmen die endlosen Sprachglossare überflüssig, wie sie Bayesian-Spam-Filtern oder Sweeping-Regeln benötigen. Sie können dazu führen, dass die Filter fälschlicherweise auch legitime E-Mails blockieren.
Vertrauenswürdige Benutzer
Ein zentrales Problem ist die korrekte Klassifizierung von Spam, Viren oder Phishing durch die Community-Mitglieder. Vipul’s arbeitet deshalb mit einem Reputationssystem: Es beurteilt die Reputation oder den Vertrauenspegel des Benutzers danach, wie oft die gesamte Community mit ihm in der Einschätzung einer einzelnen Nachricht übereinstimmt. So bleiben fehlerhafte Spam-Meldungen durch Mitglieder, die versuchen könnten das System auszutricksen, folgenlos, weil ihnen die Bestätigung durch andere vertrauenswürdige Benutzer fehlt. Das macht das System widerstandsfähig gegen Überlistungsversuche. Jedem Fingerprint einer verdächtigen Nachricht ist ein Vertrauenspegel zugeordnet, der auf der Reputation der Person basiert, die die jeweilige Nachricht meldet. Dann entscheidet die Zustimmung der Community darüber, ob das System die Nachricht künftig ausfiltert oder durchlässt. Jede neue Meldung aktualisiert den Vertrauenspegel in Echtzeit. Dabei ist es schwierig, Vertrauen zu gewinnen, aber einfach, Vertrauen zu verlieren. Am Ende bestimmt die Summe aller Wertungen darüber, ob das Backend-System eine Nachricht als Spam oder Nicht-Spam kennzeichnet.
Die endlose Feedback-Schleife des Systems bewirkt auch eine schnelle Korrektur eventueller Fehlklassifikationen. Aufgrund des neuesten Urteils der Community kann sich die Einstufung einer Nachricht automatisch ändern. Das System überprüft kontinuierlich die Vertrauenswerte der einzelnen Melder auf der Basis ihrer bisherigen Mail-Beurteilungen. Ihr Vertrauenspegel hängt von der nachgewiesenen Zuverlässigkeit aller bisherigen Meldungen ab. “Diese Rückkopplung bei der Zuweisung macht das Einstufungsverfahren zu einem stabilen, geschlossenen Regelkreis-System.”
Statt darauf zu warten, dass ein Experte ein Virusmerkmal erkennt und extrahiert oder eine Signatur schreibt, nutzen kollaborative Filtertechniken den Konsens der Community, um schädliche Nachrichtigen rasch und effizient zu kennzeichnen und auszufiltern. Das bietet zahlreiche Vorteile gegenüber heuristischen Verfahren, selbstlernenden Maschinen und der Netzwerkanalyse, unter anderem eine bessere Antwortzeit, Genauigkeit und Skalierbarkeit.
IP-Blacklisting, Begrenzung der Mail-Zustellrate und mehrere andere Techniken gründen sich lediglich auf die Verkehrsanalyse in der Netzwerkschicht. IP-Blacklists blockieren den gesamten ankommenden Nachrichtenverkehr von Mailservern, von denen bekannt ist, dass sie Schadmails aussenden oder durch fehlerhafte Konfiguration Schadmails aussenden können. Dabei besteht jedoch immer die Gefahr von False Positives.
Eine andere in der Netzwerkschicht angewandte Technik – die Begrenzung der E-Mail-Zustellrate – verringert die Geschwindigkeit der Zustellung von Schadmails, ist aber für Kunden mit hohen Durchsätzen, etwa Service Providern, nur schwer einsetzbar, weil sie auch die Zustellung von legitimen Nachrichten verzögert und so ein Quality of Service-Problem beim Endkunden verursachen kann. Die Begrenzung der Zustellrate und die Kontrolle des Nachrichtenverkehrs können sinnvolle Ergänzungen einer Filterlösung sein, eignen sich aber nicht als alleinige Lösung.
Trainingsvorsprung
Rechner können sich heuristischer Verfahren bedienen – also vorgegebener Regeln, die auf bestimmte Merkmale von Spam-Mails zutreffen – sie müssen diese Regeln allerdings trainieren. Nicht selten fehlen dazu ausreichende Gelegenheiten. Ved Prakash schreibt dazu: “Maschinelle Lernverfahren müssen vom Empfänger regelmäßig trainiert werden, jedoch findet ein solches Training gemessen an der Häufigkeit der ankommenden Mails zu selten statt. Die meisten Implementierungen umfassen eine vordefinierte Annahme, die als Ausgangspunkt und vorläufiger Ersatz für das nachfolgende Tool-Training dient. Nach erfolgtem Training können Machine-Learning-Systeme recht genau legitime Nachrichten erkennen und auch Spam recht gut identifizieren. Die beste Leistung erzielen sie nachweislich in Einzelbenutzer-Umgebungen, wo die Trainingsvorgaben exakt die Benutzer-Präferenzen widerspiegeln. Die meisten praktischen Anwendungen der statistischen Textklassifikation werten orthogonale Klassifizierungsverfahren – etwa Blacklisting – auf, um eine akzeptable Spam-Erkennungsleistung zu erzielen.”
Virenschutz
Anders als beim kollaborativen Ansatz von Vipul’s Razor nutzen herkömmliche Spam- und Virenschutzsysteme das Wissen ausgewählter Experten, die neue Signaturen zur Abwehr neuer Bedrohungen entwickeln. “Herkömmliche Virenschutzprogramme arbeiten nach einem einfachen Prinzip. Die Software untersucht jede Datei, die auf dem Rechner ankommt, und generiert eine einzigartige Signatur. Diese Signatur vergleicht sie anschließend mit einer Datenbank von bekannten Virus-Signaturen. Diese Signaturen haben Experten aus Proben beobachteter Viren isoliert. Im Idealfall kennzeichnen sie eindeutig einen Virenstamm, ohne mit legitimer Software zu kollidieren. Wird die Datenbank häufig aktualisiert und ist die Signatur ausreichend selektiv ist, filtert sie alle Viren aus dem System, bevor sie Schaden anrichten können; andernfalls kann es vorkommen, dass wichtige Systemsoftware als schädlich gekennzeichnet oder dass umgekehrt Virusvarianten unerkannt bleiben.”
Fingerprinting-Methoden und kollaborative Filterung bieten Geschwindigkeits- und Genauigkeitsvorteile gegenüber herkömmlichen Virenschutz-Signaturen. Die kompakten Fingerprints identifizieren Schadmails und ihre Varianten in allen Sprachen und Formaten. Sie erlauben eine rasche Verarbeitung der Nachrichten und beanspruchen nur einen Bruchteil der für herkömmliche Content-Filtersysteme erforderlichen CPU-Leistung. Für neue Bedrohungen lassen sich schnell neue Fingerprints bereitstellen, die nicht die gleicher hohe Toleranz wie Virensignaturen aufweisen müssen, um Mutationen zu erkennen.

Erzeugung eines Fingerprints für ein Virus: Für mehrere Virenstämme ist nur ein einziger Fingerprint erforderlich, um eine Verbreitung zu verhindern.
So hat zum Beispiel Cloudmark ein spezifisches Fingerprinting-Schema für x86-Binaries entwickelt, das ausführbaren Code disassembliert und potenziell invariante Teile extrahiert. Anders als bei alternativen Konzepten, die von Anfang an zeitaufwendige Analysen durchführen und neue Regeln aufstellen, automatisiert dieser neue Fingerprinting-Algorithmus effektiv den bei anderen Virenschutzlösungen gebräuchlichen manuellen Reverse-Engineering-Prozess. Wesentliche Gestaltungsprinzipien für Nachrichten-Fingerprints sind hohe Multiplizität und geringe klassenübergreifende Kollision.
Das Konzept der hohen Multiplizität bedeutet, dass ein einzelner Fingerprint zahlreiche verschiedene Schadmails abdeckt, Ein Fingerprint erkennt dann auch solche E-Mails mit Spam und Viren, deren Inhalt, Code und Nachrichtenformat polymorphen Veränderungen unterzogen wurde. Damit lassen sich mutierte Bedrohungen sogar ohne Meldungen durch Mitglieder der Community in Echtzeit erkennen. Eine geringe klassenübergreifende Kollision minimiert irrtümliche positive Einstufungen, indem sie sichergestellt, dass für zwei verschiedene Klassen von Mails nicht der gleiche Fingerprint zum Einsatz kommt.
Fazit
Vipul’s Razor führte zwei einzigartige Merkmale in den Kampf gegen Spam und künftige Bedrohungen ein: die kollaborative Meldung von Spam auf der Grundlage der Reputation und die Message-Fingerprinting-Algorithmen.
Diese Entwicklungen verfolgt heute das Unternehmen Cloudmark. weiter. Hier tragen innovative Konzepte für Fingerprinting-Algorithmen, Techniken zur Nachrichtenverarbeitung und der Ausbau eines weltweiten kollaborativen Netzwerks von vertrauenswürdigen Benutzern dazu bei, dass Service Provider, Unternehmen und private Anwender sich vor Bedrohungen schützen können, die die wirtschaftliche Existenz und den Datenschutz gefährden. Ein erst kürzlich vorgestelltes Plugin der kommerziellen Version von Cloudmark Authority lässt sich dafür innerhalb weniger Minuten in vorhandene SpamAssasin-Umgebungen einbinden. (jcb)
Der Autor
Neil Cook ist Software-Architekt mit über 15 Jahren Erfahrung in der Entwicklung und Einführung von umfangreichen Messaging- und Directory-Lösungen für Service-Provider. Seine Spezialgebiete sind mobile und Next-Generation-Konvergenzdienste sowie Messaging-Security. Neil besitzt einen PhD und einen BSc (Hons) in Informatik der University of Nottingham (UK). Er ist aktives Mitglied der IETF Lemonade Working Group und Verfasser eines IETF-Entwurfs zum Thema Media-Streaming zu mobilen E-Mail-Geräten.



