"Wer sich in Gefahr begibt, kommt darin um", heißt es im Volksmund. Microsofts Sicherheitsforscher hingegen wollen auf genau diesem Weg die Sicherheit im Internet erhöhen. Sie suchen gezielt nach Webseiten, die über Lücken im Internet Explorer ein Windows-System befallen, um sich so einen besseren Überblick über derzeit kursierende Exploits und Bedrohungen für Windows-Systeme im Internet zu verschaffen. Unter Umständen lassen sich so sogar Zero-Day-Exploits ausfindig machen, also Angriffe auf Lücken, die noch gar nicht öffentlich bekannt sind und für die noch gar kein Patch verfügbar ist.
Eigens dafür hat man das Projekt HoneyMonkey ins Leben gerufen. Anders als etwa bei Honeypots wartet der Betreiber nicht darauf, bis ein Angreifer einen Einbruchsversuch startet. Stattdessen surfen mehrere Windows-XP-Clients automatisiert durchs Netz und warten beim Aufruf einer Seite auf einen Angriff. Um die Wahrscheinlichkeit zu erhöhen, füttert man die Rechner mit URLs, die bereits in der Vergangenheit unangenehm aufgefallen sind oder etwa in manipulierten Hosts-Dateien gefunden wurden.
Um die Bedrohungen besser unterscheiden und einschätzen zu können, arbeiten die Redmonder mit Windows-XP-Systemen auf verschiedenen Patch-Ständen: Wurde ein XP mit SP1 ohne Patches infiziert, besucht anschließend ein XP mit SP2 ohne Patches, ein XP mit SP2, das teilweise gepatcht ist, und ein XP SP2 mit allen Sicherheitsupdates die Seite. Die Auswertung, ob ein System infiziert wurde, erfolgt ebenfalls automatisch. Dazu registriert ein Programm namens Strider Flight Data Recorder unter anderem alle Änderungen in der Registry und an Systemdateien. Zusätzlich kontrollieren Microsofts hauseigene Tools Strider Ghostbuster und Strider Gatekeeper das System auf eine Infektion mit Rootkits oder Spyware. Nach jedem Besuch wird das in einer virtuellen Umgebung laufende Strider Honeymonkey Exploit Detection System neu und schädlingsfrei gestartet.
Weiter gehts bei Heise
