"Rishi (aus dem Sanskrit) bezeichnet im Hinduismus einen Seher oder mythischen Weisen. [...] Den Rishis wird die Fähigkeit zugeschrieben, Wunder zu wirken oder Krankheiten zu heilen." - Wikipedia

Rishi ist eine am IT Center entwickelte Software zur Erkennung von IRC-Bot-infizierten Rechnern. Durch passives Sniffen des Netzwerkverkehrs werden Informationen, die über das Internet Relay Chat- (IRC-) Protokoll übertragen werden, extrahiert und auf das Vorkommen bestimmter Eigenschaften hin überprüft. Über ein Punktesystem, welches einzelnen Verbindungen aufgrund der gefundenen Informationen eine Punktzahl zuordnet, wird entschieden, ob es sich um eine Verbindung zu einem IRC-Botnet handelt oder nicht.

Über ein Webfrontend lassen sich die gesammelten Daten untersuchen und infizierte Rechner identifizieren. Darüberhinaus lässt sich hier auch eine E-Mail erstellen, um den Eigentümer oder Administrator eines verseuchten Rechners zu kontaktieren.

IRC

Die Abkürzung IRC steht für Internet Relay Chat, eins der größten Chat-Programme im Internet. Verteilt auf mehrere Server weltweit treffen sich hier Leute, um zu kommunizieren oder auch um Daten auszutauschen. Im IRC gibt es sogenannte "Channel" oder auch Räume, in denen man sich treffen und über bestimmte Themen diskutieren kann.

Jeder Nutzer im IRC vergibt sich selbst einen "Nickname", einen Spitznamen, mit dem er sich innerhalb des IRC-Netzwerks identifiziert. Darüberhinaus gibt es noch eine Vielzahl von Funktionen, die auch das Austauschen von Dateien oder privaten Konversationen beinhalten.

Botnet

Der Begriff "Bot" stammt eigentlich von dem Wort "Roboter" und bezeichnet hier eine Software die, zu einem gewissen Grad, automatisch agieren kann bzw. mit dessen Hilfe sich ein Rechner fernsteuern lässt. Ursprünglich wurden Bots als kleine Helferprogramme eingesetzt oder aber, besonders im IRC, zum Beispiel als Quiz-Roboter, die Fragen in einen Raum stellen, die von den Besuchern beantwortet werden können.

Neben diesen eher als harmlos einzustufenden Tools gibt es aber auch eine Vielzahl von Schadsoftware, die sich das IRC als weltweites Kommunikationsnetz für die Steuerung von infizierten Rechnern zunutze macht. Solche verseuchten Rechner, auch Bots oder Zombies genannt, verbinden sich nach der Kompromittierung zum IRC-Netzwerk und "treffen" sich in einem bestimmten Raum. Der Angreifer kann nun über diesen Raum mit jedem infizierten Rechner Kontakt aufnehmen und durch Zusenden von Nachrichten sogar Befehle erteilen. Diese Versammlung von Bots in einem IRC-Netzwerk nennt man Botnet (Robot-Netzwerk) oder auch Command and Control- (C&C-) Server. Von hier aus befiehlt der Angreifer den Rechnern, SPAM zu versenden oder massive Denial of Service- (DoS-) Angriffe auf bestimmte Rechner oder Dienste zu absolvieren.