Facebook gibt Einblick in sein Security-Framework ThreatData

Facebook hat öffentlich gemacht, wie es Sicherheitsbedrohungen für seine Internet-Angebote erkennt und behebt: Ein Blogbeitrag von Entwickler Mark Hammell stellt ThreatData vor, ein „Framework, um Informationen über Fehlverhalten im Internet in beliebigen Formaten zusammenzutragen“. Die Datensammlung erfolgt in Echtzeit, wird aber für langfristige Analysen gespeichert.

Das Framework besteht aus drei Elementen: Feeds, Datenspeicherung und Echtzeit-Reaktionen. Die Feeds tragen wie beschrieben Daten zusammen, etwa Malware-Hashes von VirusTotal oder von Open-Source-Blogs beziehungsweise Malware-Tracking-Sites identifizierte bösartige URLs, aber auch Malware-Signaturen von Sicherheitsanbietern, die Facebook zukauft. Die Daten werden dann im Storage-Bereich abgelegt, der sich aus zwei Repositorien zusammensetzt – Hive und Scuba. Scuba enthält die neueren Bedrohungen, Hive dient als weiter zurückreichendes Archiv und Analysegrundlage.

Zu den automatisch ablaufenden Echtzeit-Reaktionsmöglichkeiten zählen schwarze Listen bösartiger URLs oder eine Weiterleitung der Bedrohungsdaten an die Sicherheitsplattform, mit der Facebook sein Firmennetz schützt. Außerdem lädt Facebook ein Exemplar jeder Malware herunter, wenn sie zum ersten Mal gesichtet wird, um sie später analysieren zu können.

Zur Illustration der Möglichkeiten nennt Hammell in seinem Blogbeitrag ein Beispiel: „Im Sommer 2013 bemerkten wir eine Häufung von Malware-Exemplaren, die in der Antivirensignatur die Zeichenfolge ‚J2ME‘ enthielten. Als wir dem nachgingen, entdeckten wir eine Spam-Kampagne, die falsche Facebook-Konten nutzte, um Links zu Malware für Feature Phones zu verschicken.“ (J2ME ist die „Java Platform Micro Edition„, mit der Standard-Telefone Java-Programme ausführen können.)

Weiter heißt es: „Die Malware – und speziell die Trojanerfamilie J2ME/Boxer – war in der Lage, das Adressbuch des Opfers auszulesen, gebührenpflichtige SMS zu verschicken und Fotos mit der Kamera des Telefons aufzunehmen. Nach dieser Entdeckung konnten wir die Malware analysieren, die Spam-Kampagne stören und mit Partnern auch die Infrastruktur des Botnetzes aushebeln.“

Automatisch von ThreatData generierte Landkarte mit Bedrohungen (Screenshot: Facebook)

Hammell weist darauf hin, dass das Framework einem einzelnen Antivirenprodukt weit überlegen ist, wie es in vielen Firmen zum Einsatz kommt. Eine einzelne Suite werde nie alle Gefahren entdecken können.

ThreatData werde außerdem ständig weiterentwickelt, heißt es noch. Zuletzt habe man begonnen, mehr Kontext zu speichern, etwa die Geodaten jeder URL, egal ob Opfer oder Angreifer. So könne man besser nachvollziehen, wo Gefahren herkämen und auf wen sie abzielten. Das System könne Landkarten mit diesen Daten in Minuten erstellen. Sie seien auch für Facebooks Partner nützlich.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago