211service.com
Internetwormen bevatten
De verspreiding van internetwormen zou in een vroeg stadium kunnen worden gestopt door een nieuwe methode te gebruiken om computers te controleren op het gedrag van geïnfecteerde hosts, blijkt uit onderzoek dat onlangs is gepubliceerd in IEEE-transacties op betrouwbare en veilige computers . Hoewel er andere methoden bestaan om te beschermen tegen wormen, is de nieuwe strategie ontworpen om interferentie met de normale werkpatronen van gebruikers te minimaliseren, zegt Ness Shroff , een professor op de afdeling elektrotechniek van de Ohio State University, die bij het onderzoek betrokken was. De onderzoekers stellen zich voor dat de techniek wordt gebruikt in bedrijfsnetwerken, waar het computers kan identificeren die in quarantaine moeten worden geplaatst en gecontroleerd op infectie.
Internetwormen kunnen worden ingeschakeld om denial-of-service-aanvallen uit te voeren, die een website overspoelen zodat legitieme gebruikers er geen toegang toe hebben, of om achterdeuren te installeren die kunnen worden gebruikt om botnets te maken. Grote aantallen geïnfecteerde computers kunnen het internetverkeer aanzienlijk vertragen, zelfs als de wormen zich alleen maar verspreiden.
De methode van Purdue University en Ohio State om te voorkomen dat wormen zich verspreiden, werkt voornamelijk voor een klasse wormen die willekeurig het internet afspeurt op zoek naar kwetsbare hostmachines om te infecteren. Een van die wormen was Code Red, die in 2001 in minder dan 14 uur meer dan 359.000 computers infecteerde en uiteindelijk naar schatting 2,6 miljard dollar aan schade veroorzaakte. Hoewel dit type worm al een tijdje bestaat, Kurt Rohloff , een wetenschapper in de technologiegroep voor gedistribueerde systemen bij BBN Technologies , zegt dat het nog steeds gevaarlijk is. Dit is een heel eenvoudige klasse van wormen die heel gemakkelijk te ontwikkelen en te programmeren zijn, maar tegelijkertijd niet zo gemakkelijk in te dammen, zegt hij. Als we deze vrij eenvoudige maar nog steeds problematische wormen zouden begrijpen, zouden we hopelijk de meer zogenaamde sluwe wormen kunnen aanpakken.
De onderzoekers baseren hun strategie op een nieuw model dat ze hebben ontworpen voor de verspreiding van wormen. Veel bestaande modellen zijn gebaseerd op een analogie met de verspreiding van epidemieën, zegt Shroff, maar ze zijn nauwkeuriger in latere stadia van een infectie. Het model van de onderzoekers was met name ontworpen voor nauwkeurigheid in de vroege stadia van infectie, en het onthulde dat de sleutel tot het al dan niet succesvol verspreiden van een worm het totale aantal keren is dat een geïnfecteerde host het internet scant in pogingen om nieuwe hosts te vinden besmetten.
Terwijl andere methoden om wormen in te dammen zich richtten op het controleren van computers op veranderingen in de snelheid waarmee ze internet van moment tot moment scannen, zegt Shroff dat dit de dagelijkse activiteiten van gebruikers kan verstoren. Scansnelheden fluctueren erg, dus als je online gaat, kun je in een zeer korte tijd heel vaak scannen en dan helemaal niet scannen, zegt hij. We waren van mening dat de scansnelheid te beperkend was en de normale werking van het netwerk zou kunnen verstoren. Door het aantal scans over een langere periode te monitoren, zegt hij, is het mogelijk om wormen in bedwang te houden terwijl de drempel te hoog blijft voor gewone gebruikers om alarm te slaan. Software kan het aantal scans controleren dat elke computer in een netwerk verzendt en computers die dat aantal overschrijden in quarantaine plaatsen. Shroff hoopt dat het op deze manier wijzigen van de criteria voor het vermoeden van infectie de kans verkleint dat legitieme scans van internet als wormactiviteit worden gemarkeerd.
In zekere zin is wat we doen profiteren van het feit dat deze worm veel dingen probeert en vaak mist, en elke keer dat hij mist, geeft hij wat informatie weg, zegt Shroff. Hoewel het systeem is ontworpen voor het omgaan met scanwormen die willekeurig op zoek gaan naar kwetsbare hosts, hebben de onderzoekers het ook aangepast voor wormen die hun aanvallen op specifieke lokale netwerken richten.
Shroff is van mening dat het systeem het beste kan worden ingezet op bedrijfsnetwerken, met name in situaties waarin extra computers beschikbaar zijn die een werklast kunnen dekken terwijl mogelijk geïnfecteerde computers worden onderzocht. Het werkt misschien niet zo goed voor kleine bedrijven of op thuisnetwerken, omdat het offline zetten van een computer een te grote verstoring kan zijn voor gebruikers, zegt hij.
Rohloff zegt dat hij zich kan voorstellen dat zo'n systeem effectief is, maar hij waarschuwt. Het vooroordeel zou natuurlijk zijn dat het lokale netwerken zou beschermen tegen infecties die al in het netwerk aanwezig zijn. Het zou niet zo veel doen om netwerken te beschermen tegen infecties die van buitenaf komen. Hij voegt eraan toe dat hoewel het model en de eerste simulaties van de onderzoekers er goed uitzien, hij nieuwsgierig zou zijn naar een meer grondige analyse van hoe vaak het systeem vermoedt dat een computer is geïnfecteerd met een worm terwijl er geen worm aanwezig is.
De onderzoekers van Purdue en Ohio State suggereren dat toekomstig werk zou kunnen zoeken naar manieren om hun tools aan te passen voor steeds meer gerichte wormen. Shroff zegt dat terwijl hij en zijn collega's zich nu concentreren op het stoppen van wormen op het niveau van hostcomputers, een andere mogelijke richting zou kunnen zijn om software te maken waarmee routers kunnen letten op verdachte verkeerspatronen. Hoewel een dergelijke benadering het mogelijk zou kunnen maken om een relatief groot aantal computers vanaf een enkel punt te bewaken, zou het ook aanzienlijke veranderingen vereisen in de manier waarop routers werken. Terwijl ze momenteel alleen de bestemming van internetverkeer bijhouden, zouden ze ook de bron moeten gaan bijhouden.