Új trükk a férgek elleni védekezésnél

2009. január 16. 12:25 - Csizmazia Darab István [Rambo]

Meglepő ötlettel álltak elő a kaliforniai Davis egyetem és az Intel munkatársai. Olyan programrendszert terveztek, amely valós időben értékelné az egyes gépeken, mi kerül többe: a számítógépen éppen végzett feladat stratégiai értéke, vagy a fertőzés elhárítása érdekében annak hálózatról történő lekapcsolása.

Az már most is megvalósul, hogy a gépek érzékeljék (IDS), ha egy másik gép megpróbál ellenük támadást intézni, de ez nem okvetlenül őrzi meg a korábbi támadások információit. Ha egy vállalati környezetben gyanús, szokatlan hálózati tevékenységet észlelünk, felvetődhet, hogy ez egyaránt lehet ritka, de valós és legális tevékenység, illetve akár támadást is jelezhet. A hálózati adminisztrátornak ott a dilemma: ha nem kapcsolja le idejében, akkor a fertőzés veszélyeztet; ha pedig lekapcsolja a hálózatról, akkor esetleg kárt okozhat a folyamatos munkákban a hamis riasztás miatti pár órás kieséssel.

Sok fejfájást okozott a maga idejében a Blaster (MSBlast)

A szellemes ötlet lényege, hogy a gépek a rendellenes tevékenységekkel kapcsolatban információkat osszanak meg egymással. A PC-k a hálózati adatforgalomból folyamatosan értékelik annak valószínűségét, fennáll-e egy lehetséges, most induló féregtámadás esélye. Egyetlen gyanús aktivitás még nem mond túl sokat, de ha például száz gép közül 5-10 helyen is tapasztaljuk ugyanazt a szokatlan tevékenységet, akkor már joggal gyanakodhatunk.

A stratégia második része pedig egy olyan algoritmust használ, amely összehasonlítja, hogy az egyes gépeken pillanatnyilag mi kerül többe, a számítógépen éppen végzett feladat stratégiai értéke, vagy a fertőzés elhárítása érdekében annak hálózatról történő lekapcsolása. Ez az érték folyamatosan változik annak függvényében, hogy mekkora a támadás kiszámított valószínűsége, és attól is, hogy az adott számítógép éppen milyen jellegű munkákban vesz részt. Ha például egy online sales munkatárs gépét csak akkor kapcsolják le, ha egy támadás már teljességgel bizonyos, akkor ez valószínűleg több hasznot jelenthet, mint a kieeső munka egy esetleges hamis riasztás miatt. (Bár ha a féreg a vállalati vevőadatbázist lopja el éppen, akkor statisztika ide vagy oda, elkésett a a beavatkozás.) Ennek éppen az ellenkezője, ha valakinek a munkájához (szövegszerkesztés, helyi számítási vagy programozási feladatok, stb.) nem okvetlenül szükséges az online jelenlét, őt akkor is megéri leválasztani a hálózatról, ha igen nagy a vakriasztás esélye, hiszen ezzel a vállalatnál várhatóan nem keletkezik komoly bevétel kiesés.

Alex Dragulescu: MyDoom című festménye

A tanulmány a tavalyi év végén jelent meg "Recent Advances in Intrusion Detection" címmel, és majd a jövő dönti el, megvalósul-e és be tudja-e majd váltani a hozzáfűzött reményeket. Elképzelhető, hogy a jövő adminisztrátorai egy hatékony eszközzel lesznek gazdagabbak.

5 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr63881235

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Salvia Divinorum (törölt) 2009.01.16. 14:14:50

Vállalati környezetben egyszerűbb lenne felrakni egy linux disztribúciót, akkor nem kell ilyenekkel szarozni

mnmnbkhj 2009.01.16. 14:25:08

Majd meglátjuk. Persze ez amerika, mire ideér az még...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.01.16. 15:10:53

Szia Mindentől függetlenül!

Paprika januárban? ;-) Ha ráböksz, akkor ki tudod nagyítani a képet. Az ábra egyébként a Nachi féreg egy honeypot elleni támadásának elemzésekor készült, annak logbeli adatainak grafikus megjelenítése.