Facebook gibt Einblick in sein Security-Framework ThreatData

Facebook hat öffentlich gemacht, wie es Sicherheitsbedrohungen für seine Internet-Angebote erkennt und behebt: Ein Blogbeitrag von Entwickler Mark Hammell stellt ThreatData vor, ein „Framework, um Informationen über Fehlverhalten im Internet in beliebigen Formaten zusammenzutragen“. Die Datensammlung erfolgt in Echtzeit, wird aber für langfristige Analysen gespeichert.

Das Framework besteht aus drei Elementen: Feeds, Datenspeicherung und Echtzeit-Reaktionen. Die Feeds tragen wie beschrieben Daten zusammen, etwa Malware-Hashes von VirusTotal oder von Open-Source-Blogs beziehungsweise Malware-Tracking-Sites identifizierte bösartige URLs, aber auch Malware-Signaturen von Sicherheitsanbietern, die Facebook zukauft. Die Daten werden dann im Storage-Bereich abgelegt, der sich aus zwei Repositorien zusammensetzt – Hive und Scuba. Scuba enthält die neueren Bedrohungen, Hive dient als weiter zurückreichendes Archiv und Analysegrundlage.

Zu den automatisch ablaufenden Echtzeit-Reaktionsmöglichkeiten zählen schwarze Listen bösartiger URLs oder eine Weiterleitung der Bedrohungsdaten an die Sicherheitsplattform, mit der Facebook sein Firmennetz schützt. Außerdem lädt Facebook ein Exemplar jeder Malware herunter, wenn sie zum ersten Mal gesichtet wird, um sie später analysieren zu können.

Zur Illustration der Möglichkeiten nennt Hammell in seinem Blogbeitrag ein Beispiel: „Im Sommer 2013 bemerkten wir eine Häufung von Malware-Exemplaren, die in der Antivirensignatur die Zeichenfolge ‚J2ME‘ enthielten. Als wir dem nachgingen, entdeckten wir eine Spam-Kampagne, die falsche Facebook-Konten nutzte, um Links zu Malware für Feature Phones zu verschicken.“ (J2ME ist die „Java Platform Micro Edition„, mit der Standard-Telefone Java-Programme ausführen können.)

Weiter heißt es: „Die Malware – und speziell die Trojanerfamilie J2ME/Boxer – war in der Lage, das Adressbuch des Opfers auszulesen, gebührenpflichtige SMS zu verschicken und Fotos mit der Kamera des Telefons aufzunehmen. Nach dieser Entdeckung konnten wir die Malware analysieren, die Spam-Kampagne stören und mit Partnern auch die Infrastruktur des Botnetzes aushebeln.“

Hammell weist darauf hin, dass das Framework einem einzelnen Antivirenprodukt weit überlegen ist, wie es in vielen Firmen zum Einsatz kommt. Eine einzelne Suite werde nie alle Gefahren entdecken können.

ThreatData werde außerdem ständig weiterentwickelt, heißt es noch. Zuletzt habe man begonnen, mehr Kontext zu speichern, etwa die Geodaten jeder URL, egal ob Opfer oder Angreifer. So könne man besser nachvollziehen, wo Gefahren herkämen und auf wen sie abzielten. Das System könne Landkarten mit diesen Daten in Minuten erstellen. Sie seien auch für Facebooks Partner nützlich.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.