Перейти к содержанию
VladB

"Иммунизация" интернета: новый способ борьбы с вир

Recommended Posts

VladB

http://www.bezpeka.com/ru/news/2005/12/06/5211.html

Обычное антивирусное ПО использует для поиска и обезвреживания вирусов их сигнатуры. Это означает, что как правило, вирусы должны быть исследованы специалистами до того как антивирусное ПО научится их различать, что снижает скорость "ответной реакции", и может привести к тому, что некоторые быстрораспространяющиеся вирусы нанесут немалый ущерб, до того как будут обезврежены. Решением проблемы могут стать, так называемые "иммунные системы". Новый вид таких систем разработала команда из Тель-Авивского университета под руководством Эрана Шира (Eran Shir). Они применили теорию сетей к решению проблемы, и, как утверждают, нашли более эффективные способы борьбы с вирусными атаками.

Исследователи считают, что атаки вирусов всегда будут опережать ответные действия, исходящие от серверов, контролирующих сеть. Поэтому предлагают развить распределенную в интернете сеть компьютеров-"ловушек" (honeypots). Эти компьютеры будут "заманивать" вирусы, автоматически их анализировать и распространять контрмеры. "Ловушки" должны быть связаны между собой отдельными защищенными каналами. В этом случае, при обнаружении атаки одной из "ловушек" остальные будут моментально оповещены, и начнут работать как центры распространения обезвреживающего кода. Моделирование показало что, чем больше сеть, тем более эффективно работает эта схема. Например, если в сети будет 50 тыс. узлов (компьютеров), и только 0,4 % из них "ловушки", вирусы успеют захватить не более 5% сети, а затем будут остановлены "иммунной системой". Для сети с 200 млн. узлов, при той же пропорции "ловушек" заражение составит всего 0,001 %.

Пока подобная "иммунная система" существует лишь в теории, но Шир надеется с помощью добровольцев запустить подобный проект в интернете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Вот если бы чуть подробнее почитать о технологии ...

А на самом деле сеть эта должна очень сильно изменяться динамически. Т.к. если будут известны IP данных хонепотов, то их в денай лист добавят, и черви их будут обходить ... Т.е. с течением времени эффективность такой системы будет падать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Подход конечно интересный, но мне не совсем понятна эта технология в части автоматического анализа и распросотранения контрмер.

Предположим, что в ловушку что-то там попадает. Как она будет определять, что это что-то вирус? Эвристикой? Интересно какой процент таким образом можно поймать, 10-20 (не считая принципиально новых угроз (zero-day), которые точно сложно обнаружить)? А остальное все пройдет незамеченным через эти ловушки-сенсоры.

Далее, предположим зараза детектирована, как автоматически понять, чем она опасна и как ей противостоять? Если бы реально такой механизм был создан, то, осмелюсь предположить, все дятлы в вируслабах остались бы без работы :-)

Думаю это очередная красивая теория, которая не имеет ничего общего с реальностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

На самом деле все вопросы из-за невозможности прочитать более подробно специфику самой технологии ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Во-первых, Eran Shir аспирант, а не "доктор наук".

Во-вторых, лажа это все. По пунктам:

1. Защита строится для почтовых червей или червей в IM, а это не обеспечит иммунизацию всего Интернета, так как огромный процент сегодняшней заразы загружается из Веб, например

2. Концепция предполагает автоматическую генерацию сигнатуры. То есть, если внедрить такую систему в Интернете, то со следующего дня авторы вирусов будут тратить на написание на 10 мин. дольше --- именно столько требудется, чтобы вирус при рассылке себя генерировал уникальный код для каждого нового экземпляра.

Автоматизация генерации сигнатуры пораждает еще одну проблему:

3. Судя по статье авторы полагают, что все что попало в honeypot суть вирус. Такой подход позволит "отравить" систему honeypot'ов любому кто начнет рассылать легитимные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Тоже накопал некоторую инфу о honeypot's.

В журнале "Хакер" за март 2007 года есть часть этой статьи. Всю её можно лицезреть тут. Про honeypots под *nix, но которые эмулируют уязвимости виндов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Если оставлять интернет свободным,то каким образом собирать за пользование деньги?Иметь 2 интернета?Не будет ли иммунизированный являться целью атак из принципа + там в среднем,так как приоритетная сеть,гуще с деньгами пользователей,и этим таким же завирусованным?И если сайты с типичным контентом (и с рассадой вирусов) для пользователей из этого иммунизированного инета недоступны будут,то многим ли его продашь?Если пользование таким инетом не превышает защищённости хороших защитных персональных программ,которые я сам могу выбрать,то зачем он нужен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

"инновационные" теории наших еврейских коллег конечно интересны, но практически бесполезны в реальной жизни. Для примера иммунная система человека разумного оттачивается уже более ста тысяч лет, но тем не менее люди умирают от банального гриппа. Обычно все просто - человек заболевает, перебаливает, получает иммунитет от _данной_ заразы на будущее (читай их ханипоты "переболеют" и дадут вакцину для других машин), но появляется новая зараза, которую нельзя переболеть - спид, птичий грипп, атипичная пневмония и т.д.). Причем в машинной сети распространиение эпидемии неизвестной заразы будет идти на много порядков быстрее чем у живых организмов, а вот с лечение возникнут большие проблемы - "зараженную птицу" в расход врядли удастся пустить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Dr.Golova

В целом я с "коллегами" согласен. Для стабильности работы любой сложной системе нужны отрецательные обратные связи. Другое дело, что то, что они предлагают требует масштабных изменений, а решает очень частную проблему "тупых" почтовых червей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×