Dieses Handbuch beschreibt die Nutzung und technische Hintergründe von mapWOC Version 1.4.x.
Webseiten werden zunehmend als Einfallstor für die Infektion der Rechner ihrer Besucher genutzt. Dabei haben die Betreiber ihren Webseiten nicht etwa selbst missbräuchliche Inhalte hinzugefügt. Vielmehr werden sie selbst zu Opfern von Angriffen, bei denen die Inhalte ihrer Seiten verfälscht wurden. Meist handelt es sich nur um ein kleines Iframe-Element, das in die Datenbank des Betreibers eingeschleust wurde und während der Generierung neuer Seiten dem Inhalt unbemerkt hinzugefügt wird.
Während der Darstellung solcher Seiten wird im Browser noch Inhalt von einem zweiten (i.d.R. nicht vertrauenswürdigen) Server nachgeladen. Dieser Inhalt ist dann böswillig und infiziert über Schwachstellen im Webbrowser den Rechner. Der vollständige Vorgang wird auch als Drive-By-Download bezeichnet.
mapWOC dient zur automatisierten Überprüfung der Integrität von Webseiten und der Erkennung böswillig verfälschter Inhalte.
mapWOC steht für massive automated passive Web Observation Center:
mapWOC wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt.
mapWOC nutzt u.a. folgende Freie Software Komponenten:
mapWOC kann in einem Rechnerverbund (Cluster) betrieben werden, d.h. mapWOC kann auf mehr als einem Rechner laufen. Die Motivation für das Bilden eines Clusters ist die gesteigerte Performanz, also der Besuch und die Analyse von mehr URLs pro Zeit.
Ein Cluster besteht aus genau einem Master und beliebig vielen Knoten.
Der Master hält die Resultat-Datenbank und die Benutzeroberfläche; über letztere ist eine Interaktion mit den Knoten möglich.
Ein Knoten steuert die gewünschten Honey-Clients, analysiert den aufgezeichneten Netzwerkverkehr und überprüft gefundene Dateien auf Viren. Die Ergebnisse werden durch den Master über eine gesicherte Verbindung abgeholt und auf dem Knoten entfernt. Ein Knoten bietet keine Benutzeroberfläche an.
Es kann mehrere Knoten in einem Cluster geben, die allerdings alle eine eigene Verbindung zum Master benötigen. D.h. es können keine Knoten “hintereinander” verkettet werden. Der Master ist allen Knoten übergeordnet.
Auf einem physikalischen Rechner kann neben einem Master ebenfalls auch ein Knoten arbeiten. Eine typische Cluster-Konfiguration für mapWOC ist z.B.: