Перейти к содержанию
VladB

"Иммунизация" интернета: новый способ борьбы с вир

Recommended Posts

VladB

http://www.bezpeka.com/ru/news/2005/12/06/5211.html

Обычное антивирусное ПО использует для поиска и обезвреживания вирусов их сигнатуры. Это означает, что как правило, вирусы должны быть исследованы специалистами до того как антивирусное ПО научится их различать, что снижает скорость "ответной реакции", и может привести к тому, что некоторые быстрораспространяющиеся вирусы нанесут немалый ущерб, до того как будут обезврежены. Решением проблемы могут стать, так называемые "иммунные системы". Новый вид таких систем разработала команда из Тель-Авивского университета под руководством Эрана Шира (Eran Shir). Они применили теорию сетей к решению проблемы, и, как утверждают, нашли более эффективные способы борьбы с вирусными атаками.

Исследователи считают, что атаки вирусов всегда будут опережать ответные действия, исходящие от серверов, контролирующих сеть. Поэтому предлагают развить распределенную в интернете сеть компьютеров-"ловушек" (honeypots). Эти компьютеры будут "заманивать" вирусы, автоматически их анализировать и распространять контрмеры. "Ловушки" должны быть связаны между собой отдельными защищенными каналами. В этом случае, при обнаружении атаки одной из "ловушек" остальные будут моментально оповещены, и начнут работать как центры распространения обезвреживающего кода. Моделирование показало что, чем больше сеть, тем более эффективно работает эта схема. Например, если в сети будет 50 тыс. узлов (компьютеров), и только 0,4 % из них "ловушки", вирусы успеют захватить не более 5% сети, а затем будут остановлены "иммунной системой". Для сети с 200 млн. узлов, при той же пропорции "ловушек" заражение составит всего 0,001 %.

Пока подобная "иммунная система" существует лишь в теории, но Шир надеется с помощью добровольцев запустить подобный проект в интернете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Вот если бы чуть подробнее почитать о технологии ...

А на самом деле сеть эта должна очень сильно изменяться динамически. Т.к. если будут известны IP данных хонепотов, то их в денай лист добавят, и черви их будут обходить ... Т.е. с течением времени эффективность такой системы будет падать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Подход конечно интересный, но мне не совсем понятна эта технология в части автоматического анализа и распросотранения контрмер.

Предположим, что в ловушку что-то там попадает. Как она будет определять, что это что-то вирус? Эвристикой? Интересно какой процент таким образом можно поймать, 10-20 (не считая принципиально новых угроз (zero-day), которые точно сложно обнаружить)? А остальное все пройдет незамеченным через эти ловушки-сенсоры.

Далее, предположим зараза детектирована, как автоматически понять, чем она опасна и как ей противостоять? Если бы реально такой механизм был создан, то, осмелюсь предположить, все дятлы в вируслабах остались бы без работы :-)

Думаю это очередная красивая теория, которая не имеет ничего общего с реальностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

На самом деле все вопросы из-за невозможности прочитать более подробно специфику самой технологии ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Во-первых, Eran Shir аспирант, а не "доктор наук".

Во-вторых, лажа это все. По пунктам:

1. Защита строится для почтовых червей или червей в IM, а это не обеспечит иммунизацию всего Интернета, так как огромный процент сегодняшней заразы загружается из Веб, например

2. Концепция предполагает автоматическую генерацию сигнатуры. То есть, если внедрить такую систему в Интернете, то со следующего дня авторы вирусов будут тратить на написание на 10 мин. дольше --- именно столько требудется, чтобы вирус при рассылке себя генерировал уникальный код для каждого нового экземпляра.

Автоматизация генерации сигнатуры пораждает еще одну проблему:

3. Судя по статье авторы полагают, что все что попало в honeypot суть вирус. Такой подход позволит "отравить" систему honeypot'ов любому кто начнет рассылать легитимные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Тоже накопал некоторую инфу о honeypot's.

В журнале "Хакер" за март 2007 года есть часть этой статьи. Всю её можно лицезреть тут. Про honeypots под *nix, но которые эмулируют уязвимости виндов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Если оставлять интернет свободным,то каким образом собирать за пользование деньги?Иметь 2 интернета?Не будет ли иммунизированный являться целью атак из принципа + там в среднем,так как приоритетная сеть,гуще с деньгами пользователей,и этим таким же завирусованным?И если сайты с типичным контентом (и с рассадой вирусов) для пользователей из этого иммунизированного инета недоступны будут,то многим ли его продашь?Если пользование таким инетом не превышает защищённости хороших защитных персональных программ,которые я сам могу выбрать,то зачем он нужен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

"инновационные" теории наших еврейских коллег конечно интересны, но практически бесполезны в реальной жизни. Для примера иммунная система человека разумного оттачивается уже более ста тысяч лет, но тем не менее люди умирают от банального гриппа. Обычно все просто - человек заболевает, перебаливает, получает иммунитет от _данной_ заразы на будущее (читай их ханипоты "переболеют" и дадут вакцину для других машин), но появляется новая зараза, которую нельзя переболеть - спид, птичий грипп, атипичная пневмония и т.д.). Причем в машинной сети распространиение эпидемии неизвестной заразы будет идти на много порядков быстрее чем у живых организмов, а вот с лечение возникнут большие проблемы - "зараженную птицу" в расход врядли удастся пустить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Dr.Golova

В целом я с "коллегами" согласен. Для стабильности работы любой сложной системе нужны отрецательные обратные связи. Другое дело, что то, что они предлагают требует масштабных изменений, а решает очень частную проблему "тупых" почтовых червей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×