Перейти к содержанию
VladB

"Иммунизация" интернета: новый способ борьбы с вир

Recommended Posts

VladB

http://www.bezpeka.com/ru/news/2005/12/06/5211.html

Обычное антивирусное ПО использует для поиска и обезвреживания вирусов их сигнатуры. Это означает, что как правило, вирусы должны быть исследованы специалистами до того как антивирусное ПО научится их различать, что снижает скорость "ответной реакции", и может привести к тому, что некоторые быстрораспространяющиеся вирусы нанесут немалый ущерб, до того как будут обезврежены. Решением проблемы могут стать, так называемые "иммунные системы". Новый вид таких систем разработала команда из Тель-Авивского университета под руководством Эрана Шира (Eran Shir). Они применили теорию сетей к решению проблемы, и, как утверждают, нашли более эффективные способы борьбы с вирусными атаками.

Исследователи считают, что атаки вирусов всегда будут опережать ответные действия, исходящие от серверов, контролирующих сеть. Поэтому предлагают развить распределенную в интернете сеть компьютеров-"ловушек" (honeypots). Эти компьютеры будут "заманивать" вирусы, автоматически их анализировать и распространять контрмеры. "Ловушки" должны быть связаны между собой отдельными защищенными каналами. В этом случае, при обнаружении атаки одной из "ловушек" остальные будут моментально оповещены, и начнут работать как центры распространения обезвреживающего кода. Моделирование показало что, чем больше сеть, тем более эффективно работает эта схема. Например, если в сети будет 50 тыс. узлов (компьютеров), и только 0,4 % из них "ловушки", вирусы успеют захватить не более 5% сети, а затем будут остановлены "иммунной системой". Для сети с 200 млн. узлов, при той же пропорции "ловушек" заражение составит всего 0,001 %.

Пока подобная "иммунная система" существует лишь в теории, но Шир надеется с помощью добровольцев запустить подобный проект в интернете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Вот если бы чуть подробнее почитать о технологии ...

А на самом деле сеть эта должна очень сильно изменяться динамически. Т.к. если будут известны IP данных хонепотов, то их в денай лист добавят, и черви их будут обходить ... Т.е. с течением времени эффективность такой системы будет падать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Подход конечно интересный, но мне не совсем понятна эта технология в части автоматического анализа и распросотранения контрмер.

Предположим, что в ловушку что-то там попадает. Как она будет определять, что это что-то вирус? Эвристикой? Интересно какой процент таким образом можно поймать, 10-20 (не считая принципиально новых угроз (zero-day), которые точно сложно обнаружить)? А остальное все пройдет незамеченным через эти ловушки-сенсоры.

Далее, предположим зараза детектирована, как автоматически понять, чем она опасна и как ей противостоять? Если бы реально такой механизм был создан, то, осмелюсь предположить, все дятлы в вируслабах остались бы без работы :-)

Думаю это очередная красивая теория, которая не имеет ничего общего с реальностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

На самом деле все вопросы из-за невозможности прочитать более подробно специфику самой технологии ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Во-первых, Eran Shir аспирант, а не "доктор наук".

Во-вторых, лажа это все. По пунктам:

1. Защита строится для почтовых червей или червей в IM, а это не обеспечит иммунизацию всего Интернета, так как огромный процент сегодняшней заразы загружается из Веб, например

2. Концепция предполагает автоматическую генерацию сигнатуры. То есть, если внедрить такую систему в Интернете, то со следующего дня авторы вирусов будут тратить на написание на 10 мин. дольше --- именно столько требудется, чтобы вирус при рассылке себя генерировал уникальный код для каждого нового экземпляра.

Автоматизация генерации сигнатуры пораждает еще одну проблему:

3. Судя по статье авторы полагают, что все что попало в honeypot суть вирус. Такой подход позволит "отравить" систему honeypot'ов любому кто начнет рассылать легитимные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Тоже накопал некоторую инфу о honeypot's.

В журнале "Хакер" за март 2007 года есть часть этой статьи. Всю её можно лицезреть тут. Про honeypots под *nix, но которые эмулируют уязвимости виндов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Если оставлять интернет свободным,то каким образом собирать за пользование деньги?Иметь 2 интернета?Не будет ли иммунизированный являться целью атак из принципа + там в среднем,так как приоритетная сеть,гуще с деньгами пользователей,и этим таким же завирусованным?И если сайты с типичным контентом (и с рассадой вирусов) для пользователей из этого иммунизированного инета недоступны будут,то многим ли его продашь?Если пользование таким инетом не превышает защищённости хороших защитных персональных программ,которые я сам могу выбрать,то зачем он нужен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

"инновационные" теории наших еврейских коллег конечно интересны, но практически бесполезны в реальной жизни. Для примера иммунная система человека разумного оттачивается уже более ста тысяч лет, но тем не менее люди умирают от банального гриппа. Обычно все просто - человек заболевает, перебаливает, получает иммунитет от _данной_ заразы на будущее (читай их ханипоты "переболеют" и дадут вакцину для других машин), но появляется новая зараза, которую нельзя переболеть - спид, птичий грипп, атипичная пневмония и т.д.). Причем в машинной сети распространиение эпидемии неизвестной заразы будет идти на много порядков быстрее чем у живых организмов, а вот с лечение возникнут большие проблемы - "зараженную птицу" в расход врядли удастся пустить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Dr.Golova

В целом я с "коллегами" согласен. Для стабильности работы любой сложной системе нужны отрецательные обратные связи. Другое дело, что то, что они предлагают требует масштабных изменений, а решает очень частную проблему "тупых" почтовых червей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
×