Het vinden Snel bewegende Wormen

Trojans dat uw bankdetails en botnets steelt die computers zombify heeft de plaats van snel-uitspreidt wormen in de populaire krantekoppen genomen. Het is een tijdje geweest aangezien wij een globale teistering op de schaal van MyDoom, Sobig, of ILOVEYOU hadden. Nochtans, wormen, zijn de zelf-herhaalt computerprogramma's die over een netwerk uitspreiden, nog bij de bovenkant van de kritieke lijsten wanneer het aan komt computer veiligheid.

Toch is het slechts de krantekoppen die zijn veranderd, worden die botnets gecre�ërd door de verspreiding van specifieke wormen en zo ook wordt Trojans vaak geleverd door een worm.

Indrajit Ray een professor van de computerwetenschap bij de Universiteit van de Staat van Colorado, Andrew Burt CEO van veiligheidsbedrijf Techsoft, gebaseerd in Gouden, Colorado, gediplomeerde student Michael Darschewski en Prof. Ramakrishna Thurimella van de Universiteit van hogere het netwerkingenieur van Denver en van Hailin Wu bij De Netwerken van de serie twee nieuwe benaderingen hebben ontwikkeld van het vinden van de oorsprong van een wormbesmetting. Men bevlekt gerechtelijk aan de gang zijnde wormaanval, de andere werkzaamheden nadat een aanval is voorgekomen.

De onderzoekers wijzen erop dat conventionele benaderingen van het afweren van de kwaadwillige handtekeningen van het codegebruik, snippets van het identificeren van code die in de worm wordt gevonden. Nochtans, zo snel uit spreiden sommige wormen dat er vaak niet genoeg tijd is om veiligheidssoftware met de nieuwe codes bij te werken alvorens de schade wordt geberokkend. Sommige wormen kunnen miljoenen servers over Internet binnen een kwestie van minuten besmetten.

Het automatische verdeelde mechanisme zoekt de propagatiewortels van een snel-uitspreidt Internet worm. Het kan lokale wormuitbarstingen, het binnendringen van het vleknetwerk identificeren, intern netwerkmisbruik opsporen, en in het vinden van de worm terug naar zijn bron bijwonen. Het team voegt toe dat hun methode naast conventionelere binnendringenopsporing, bandbreedte throttling en menselijk-bemiddelde reacties werkt om een netwerk te beschermen.

De benadering is vrij eenvoudig en vrij gemakkelijk op te stellen. „Ons systeem is gebaseerd op de observatie dat opdat om het even welke worm snel uitspreidde, het ogenblik het een gastheer compromitteert, moet het een nieuwe reeks slachtoffers onmiddellijk identificeren,“ de onderzoekers verklaren, de „Besmetting zal bijna zeker vertoond worden door een explosief tarief uitgaande verbindingspogingen van de plaats.“

De sleutel tot het bestrijden van deze besmetting moet een controleprogramma bij de netwerkgateways opstellen dat de vlekken dergelijke flitsvloed van uitgaande verbinding probeert, die slechts aan de aanwezigheid van een snel-uitspreidt worm kan toe te schrijven zijn veronderstelt en de activiteit bijna ogenblikkelijk blokkeert. Natuurlijk, kon de netwerkbeheerder whitelist om het even welke wettige programma's die dergelijke activiteit kunnen nabootsen en zo valse positieven en netwerkonderbreking voor dergelijke programma's verhinderen. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision.

Details of the distributed worm defense can be found in the January issue of International Journal of Security and Networks (2008, 3, 36-46). You can get a free white paper on security for your business entitled ” 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction here. The white paper is published by Qualys and is available from our partner site for free.