Witte worm kan Bluetooth-virussen stoppen

Virussen van mobiele telefoons zijn al een tijdje bij ons. Het eerste virus dat is ontworpen om zich via Bluetooth-contacten te verspreiden, stak voor het eerst de kop op in 2004.





Het heet Cabir en het infecteert Series 60 mobiele telefoons met het Symbian-besturingssysteem en is zeer besmettelijk. Toen computerbeveiligingsonderzoekers Cabir voor het eerst in een testapparaat downloadden, merkten ze al snel dat hun eigen telefoons werden aangevallen.

Tegenwoordig gebruiken computerbeveiligingsonderzoekers met koper afgeschermde kamers waar ze kunnen testen hoe Bluetooth- en WiFi-virussen zich verspreiden, zonder angst voor een ongecontroleerde vrijlating.

Maar hoewel deze virussen zich blijven ontwikkelen, is er relatief weinig werk verzet om ze te stoppen. Dat komt deels doordat virussen die zich via e-mail of sms verspreiden relatief eenvoudig kunnen worden gescand door een netwerkoperator met behulp van bestaande technologieën (dwz door ze te vergelijken met een database met bekende malware).



Maar korteafstandsvirussen die zich via Bluetooth en wifi van telefoon naar telefoon verspreiden, zijn verraderlijker. Mobiele telefoons hebben niet per se de rekenkracht om alle inkomende berichten te scannen.

Dit probleem wordt nog verergerd door een cruciaal verschil in de structuur van de netwerken die worden gevormd door draadloze apparaten op korte afstand in vergelijking met het grotere mobiele telefoonnetwerk. Bluetooth-koppelingen veranderen voortdurend gedurende de dag op een manier die het patroon van persoonlijke verbindingen tussen mensen nabootst. Dat is niet verwonderlijk, aangezien Bluetooth een bereik heeft van slechts enkele meters.

Het mobiele telefoonnetwerk is echter grotendeels statisch, omdat oproepen via een gecentraliseerd glasvezelnetwerk moeten worden gerouteerd.



De snelle verandering in de verbindingen tussen knooppunten heeft belangrijke implicaties. We hebben er eerder dit jaar een aantal bekeken, zoals de volgorde waarin contact plaatsvindt. John Tang van de Universiteit van Cambridge in het Verenigd Koninkrijk en vrienden wijzen erop dat de dynamische aard van netwerken tot dusver is genegeerd in antivirusstrategieën.

Dat lijkt te veranderen. Vandaag onthullen Tang en co de nieuwe trucs waarvan ze hopen dat ze deze bedreiging voor dynamische netwerken zullen smoren.

Een van de belangrijkste verschillen tussen de manier waarop virussen zich op statische en dynamische netwerken verspreiden, is het effect van de volgorde waarin infecties plaatsvinden. Een schijnbaar triviaal voorbeeld is dat het onmogelijk is om een ​​virus op te lopen van iemand die nog niet besmet is. En als je link met die persoon eenmaal verbroken is, zoals in dynamische netwerken gebeurt, ben je veilig. In een statisch netwerk daarentegen gaan de links niet kapot en raak je later gewoon besmet.



Dat heeft belangrijke gevolgen voor de verspreiding van mobiele malware. In elk telefoonnetwerk maken bepaalde telefoons veel meer verbindingen dan andere. Een traditionele benadering is om deze knooppunten te targeten met patches die de verspreiding van malware voorkomen.

Maar in een dynamisch netwerk betekent de constante herbedrading dat ook deze belangrijke knooppunten veranderen. Dus de best verbonden knooppunten op het ene moment zijn misschien niet de best verbonden op een ander moment. Het is duidelijk dat hiermee rekening moet worden gehouden in elke effectieve anti-malwarestrategie.

Dus wat te doen? Tang en co zeggen dat het antwoord is om de malware in zijn eigen spel te verslaan door elke patch via het netwerk te verspreiden via dezelfde Bluetooth- of wifi-routes die het virus gebruikt. Op die manier zouden de patches automatisch de best verbonden nodes moeten bereiken.



Bovendien, aangezien het dynamische netwerk min of meer exact het patroon van persoonlijke interacties tussen mensen nabootst, verspreiden draadloze virussen zich voornamelijk tijdens weekdagen waarop de meeste menselijke contacten worden gelegd. Maar ze slapen grotendeels 's nachts wanneer er weinig contacten zijn

Dat is belangrijk omdat het betekent dat elke patch 's nachts kan inhalen. Tang en co laten zelfs zien dat hun patch zich kan verspreiden met een snelheid die elk virus overtreft.

Tang en co zeggen dat deze white worm-aanpak de malware in een beperkte tijd volledig kan bevatten, een claim die zelden wordt gemaakt van andere antivirusstrategieën.

Dat lijkt een interessante ontwikkeling te zijn in de kat-en-muisrace tussen de virusmakers en -brekers. Maar het lijkt onwaarschijnlijk dat dit het laatste woord zal zijn. Het kan slechts een kwestie van tijd zijn voordat malware-ontwikkelaars de door Tang en co beschreven technieken misbruiken om hun virussen effectiever te verspreiden via dynamische netwerken. En als dat gebeurt, begint de cyclus opnieuw.

Referentie: arxiv.org/abs/1012.0726 : Gebruik maken van temporele complexe netwerkstatistieken bij het inperken van mobiele malware

zich verstoppen