Loading

[C-SIRT.ORG] Neues Projekt und warum hier aktuell so wenig los ist.

Posted in Sidetopics on July 30th, 2012
Tags: , , , , , ,

Jetzt muss ich ja doch mal etwas dazu schreiben, warum hier aktuell so wenig los ist. Das liegt zum Großteil daran, dass ich seit Ende letzten Jahres an einem neuen Projekt arbeite. Seit  dem bin ich mit Gesellschafter bei der cyscon GmbH und arbeite sehr engagiert als Hauptprogrammierer an dem Projekt c-sirt.org. Dort bringe ich all meine Erfahrung im Bereich Software-Entwicklung und der Erkennung und Verarbeitung von Abuse-Beschwerden ein um der ganzen Malware/Phishin-Seiten im Internet den Kampf anzusagen.

Was genau macht C-SIRT.ORG?

Das ist einfach erklärt. Wir verarbeiten viele verschiedene Arten von Beschweren über URLs indem wir diese

  • Herunterladen, (Wir laden die gemeldeten URLs mit verschiedenen “Browsereinstellungen” herunter)
  • Klassifizieren und (Die Dateien werden über eine Anti-Viren-Infrastruktur gejagt und anhand der Signaturen entsprechend Klassifiziert)
  • die entsprechenden Fälle dann an die AS-Besitzer melden.(Über eine Selbst gepflegte Datenbank)

Findet Ihr denn damit alles?

Ganz klar: Nein. Alles können wir damit nicht finden und klassifizieren. Die Erkennungsmechanismen der Anti-Viren sind natürlich nicht lückenlos und bergen teilweise auch gefahren von falschen Erkennungen. Aber wir kommen gerade bei Textbasierten Dateien an eine sehr hohe Erkennungsrate. Wie wir das machen? Ganz einfach: Wir bilden eigene Pattern zur Erkennung von nicht erkannten Threads. Deswegen ist unsere Infrastruktur gerade im Bereich von Defacements, PHP-Shells und vor allem Phishing sehr stark.

Wo kommen die URLs her?

Es gibt verschiedene Quellen die ich hier aber nicht im einzelnen offen legen möchte. Fakt ist, jede URL die bei uns im System landet wurde an irgendeiner Stelle als verdächtig gemeldet. Einen nicht zu verachtenden Anteil erhalten wir dabei direkt über unser eigene Formular auf c-sirt.org. Dort kann jeder Internet-Nutzer URLs anonym melden um diese durch unserer Infrastruktur zu jagen. Gerade die Fälle, die darüber eingetütet werden, haben bei uns einen großen Stellenwert. Jede böse URL die darüber kommt und nicht erkannt wird, wird von uns in einem Pattern verarbeitet und dann an den Provider entsprechend gemeldet.

Was passiert, wenn die Meldung raus ist?

Die Provider reagieren auf unsere Meldungen dann mit Ihrem entsprechendem Prozess. Die Wege sind da völlig unterschiedlich, weil es keine Richtigen Standard in der Abuse-Bearbeitung gibt. Einige leiten unsere Beschwerde einfach an ihren Endkunden weiter, andere kommunizieren in eigenen Prozessen mit den Kunden und wieder andere bearbeiten den Fall selbst für ihren Kunden. Unsere URLs werden aber auch für andere Zwecke verwendet. Wir füttern damit bereits jetzt Blacklisten basierte Blockademöglichkeiten um gerade bei Phishing möglichst schnell reagieren zu können. Wir sind also beim blockieren von URLs sehr schnell, auch wenn der Provider vielleicht noch nicht entsprechend reagiert hat.

Natürlich gibt es auch bei den Providern hier einige schwarze Schafe, die nichts mit Abuse-Beschwerden anfangen können, aber in vielen Fällen können wir diese davon überzeugen es eben doch und vor allem richtig zu tun.

Warum macht Ihr das?

Tja, des Geldes wegen jeden Falls nicht. Denn anders als Ihr vielleicht denkt, bringt das Projekt c-sirt.org kein Geld. Wir machen das, weil wir das Internet sicherer machen wollen. Wir schalten so viel Malware und Phish im Internet ab, wie es uns möglich ist. Security is our Business!

Was sonst noch dabei herauskommt?

Da wir in unserer URL-Datenbank nicht nur das Aufkommen einer URL sondern eben auch das abschalten eben dieser beobachten, sind bei dem Projekt ein paar wertvolle Ergebnisse herausgekommen. Wir können damit nämlich auf faire Art und Weise die Qualität einer Abuse-Abteilung messen. Dazu etablieren wir den Anti-Abuse Performance-Index. Abuse-Abteilungen auf der ganzen Welt können sich an diesen Werten messen, denn bei unseren Zahlen

  • kommt es nicht auf die Größe des Netzes an,
  • zählen die reinen nackten Zahlen,
  • vergleichen wir eben nicht direkt mit anderen.

Wir stellen hier absichtlich nur die besten 10 auf unserer Seite dar, denn unserer Meinung nach muss man sich immer mit den Besten messen um selbst voran zu kommen. Zahlen wie: Bin ich besser oder schlechter als der Durchschnitt bringen die Abteilungen da nicht weiter. Wer gut sein will, der will auch ganz oben stehen!

[ Leave A Comment »]
Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis