Über mapWOC
mapWOC dient zur automatisierten Überprüfung der Integrität von Webseiten und der Erkennung böswillig verfälschter Inhalte.
Gefahren auf Webseiten
Webseiten werden zunehmend als Einfallstor für die Infektion der Rechner ihrer Besucher genutzt. Dabei haben die Betreiber ihren Webseiten nicht etwa selbst missbräuchliche Inhalte hinzugefügt. Vielmehr werden sie selbst zu Opfern von Angriffen, bei denen die Inhalte ihrer Seiten verfälscht wurden. Meist handelt es sich nur um ein kleines Iframe-Element, das in die Datenbank des Betreibers eingeschleust wurde und während der Generierung neuer Seiten dem Inhalt unbemerkt hinzugefügt wird.
Während der Darstellung solcher Seiten wird im Browser noch Inhalt von einem zweiten (i.d.R. nicht vertrauenswürdigen) Server nachgeladen. Dieser Inhalt ist dann böswillig und infiziert über Schwachstellen im Webbrowser den Rechner. Der vollständige Vorgang wird auch als Drive-By-Download bezeichnet.
Was ist mapWOC?
mapWOC ist ein "High-Interaction Client Honeypot" oder auch Honeyclient. Es ist ein massive automated passive Web Observation Center (mapWOC) zum Überprüfen der Integrität und Sicherheit von Webseiten:
- massive: umfassende virtuelle und native Browsersysteme, verwendbar als Einzel- oder hoch skalierbare Cluster-Lösung (bis zu 500.000 URLs pro Tag pro Knoten)
- automated: automatisiertes Ansurfen von definierten eigenen URL-Listen, analysieren des Netzwerkverkehrs nach Schadsoftware
- passive: Verweilen für definierte Zeit auf jeder URL (Warten auf Angriff)
mapWOC wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt.
Komponenten
mapWOC nutzt u.a. folgende Freie Software Komponenten:
- Debian Squeeze als Hostsystem
- KVM zur Virtualisierung
- ClamAV zur Untersuchung der Schadsoftware
Funktionensweise
Screenshots
-
Systemstatus-Überblick
-
Liste verfügbarer Honey-Clients
-
Übersicht aller verfügbaren URL-Listen
-
Details einer angelegten URL-Liste
-
Übersicht aller verfügbaren Scans
-
Neuen Standard-Scan anlegen
-
Zusammenfassung eines angelegten Standard-Scans
-
Der Redirector verteilt während eines Scans URLs an die einzelnen Honey-Clients
-
Ergebnisse alle Scans
-
Ein ausgewähltes Ergebnis im Detail (PDF-Fund)