Sposób na robaka
Naukowcy z Ohio State University opracowali metodę powstrzymywania robaków komputerowych przed infekowaniem kolejnych maszyn. Robaki, które samodzielnie wyszukują i zarażają kolejne komputery, stanowią poważny problem. Przyczyniają się do wyłączeń komputerów i przestojów całych sieci.
W 2001 roku robak Code Red w ciągu 14 godzin zainfekował 350 000 komputerów. Specjaliści szacują, że na całym świecie straty w produktywności spowodowane działaniem Code Red wyniosły 2,6 miliarda dolarów. Ness Shroff i jego koledzy postanowili znaleźć sposób na wczesne zatrzymanie tego typu infekcji.
Kluczowym czynnikiem jest monitorowanie aktywności poszczególnych komputerów w Internecie. Gdy któryś z nich zaczyna nagle skanować wiele innych maszyn, jest to najczęściej wynik działalności robaka, który szuka kolejnych ofiar. Oczywiście każdy użytkownik wielokrotnie w ciągu dnia poleca swojemu komputerowi by wykonał skan, czyli, innymi słowy, odnalazł potrzebny mu adres IP. Robaki także sprawdzają adresy IP, ale czynią to ze znacznie większą częstotliwością i na znacznie większej grupie przypadkowych adresów. Głównym problemem było więc odróżnienie tych dwóch sytuacji: skanowania dokonywanego przez komputer na polecenie użytkownika oraz poszukiwania kolejnych ofiar przez zainfekowaną maszynę.
W 2006 roku, gdy Shroff pracował na Purdue University, doktorantka Sarah Sellka zasugerowała mu stworzenie matematycznego modelu rozprzestrzeniania się robaków komputerowych we wczesnych stadiach infekcji. Po stworzeniu modelu i przeprowadzeniu symulacji naukowcy stwierdzili, że właściwą liczbą skanów, po której należy zablokować komputer jest 10 000. To znacznie więcej połączeń z adresami IP, niż przeciętna maszyna wykonuje w ciągu miesiąca. Z drugiej strony zainfekowany komputer bardzo szybko wykona więcej niż 10 000 skanów. Robak musi rozprzestrzeniać się tak szybko, gdyż inaczej nie przetrwa - wyjaśnia Shroff.
Stworzone przez naukowców oprogramowanie zatrzymało testową infekcję robakiem Code Red. Podczas eksperymentów w 95% przypadków szkodliwy program nie był w stanie zarazić więcej, niż 150 komputerów. Akademicy użyli też Code Red II, robaka, który znacznie szybciej i efektywniej zaraża komputery. W 77% przypadków robakowi nie udało się wydostać poza sieć lokalną, w której rozpoczęła się infekcja. W 10-20 procentach przypadków przedostał się do jeszcze jednej sieci, ale nie był w stanie się z niej wydostać, a w 3 do 13% - zainfekował więcej niż jedną sieć, ale jego postępy zostały znacznie spowolnione. W każdym momencie obserwowano olbrzymi spadek aktywności robaka już w ciągu pierwszej godziny.
Oprogramowanie powstrzymujące robaka powinno być zainstalowane w sieci, która ma być chroniona. Jej administratorzy muszą wziąć pod uwagę też fakt, że w przypadku infekcji, automatycznie odłączy ono zarażone komputery od Internetu. Oczywiście po usunięciu szkodliwego kodu możliwe będzie ponowne włączenie maszyny do sieci.
Zdaniem Shroffa, dla większych firm nie będzie stanowiło to problemu. Może jednak przeszkadzać w pracy niewielkim przedsiębiorstwom.
Komentarze (7)
mikroos, 10 czerwca 2008, 14:14
Wystarczyłaby odrobina dobrej woli ze strony dostawców dostępu do internetu, a problem przestałby istnieć już dawno.
Skawek, 10 czerwca 2008, 22:36
A jakie działania dostawców internetu dawno zlikwidowałyby ten problem?
mikroos, 10 czerwca 2008, 22:38
Choćby filtrowanie pakietów przechodzących przez ich routery. Przecież nietrudno zauważyć, że określony komputer zaczął intensywnie skanować adresy IP albo wysyłać pakiety charakterystyczne dla określonych szkodników. Tymczasem typowy dostawca internetu martwi się jedynie wtedy, gdy skanowane są porty w jego komputerach - wtedy podnosi alarm.
Skawek, 11 czerwca 2008, 00:07
OK, podałeś techniczną stronę rozwiązania. Jednak nie prowadzi ono do żadnej konkluzji. Nie do końca jestem w stanie sobie wyobrazić sytuację, w której provider po uprzednim zdiagnozowaniu robaka na Twoim komputerze metodą filtracji pakietów, będzie odłączał Ci dostęp do Internetu, a następnie przemiła Pani z call-center będzie telefonować i uprzejmie zawiadamiać, iż usługa będzie wznowiona po uprzednim "wyczyszczeniu" komputera...
mikroos, 11 czerwca 2008, 00:13
Dlaczego? To kwestia podpisania bardzo prostego aneksu do umowy, a może nawet zapisu w ustawie. Poczytaj sobie o tym, jak wielkie straty w gospodarce powodują robaki.
corwin, 11 czerwca 2008, 10:07
cóż, ja kilka lat temu podpisywałem umowę z providerem i jeden punkt wyraźnie stwierdzał,że w razie infekcji mojego komputera mają prawo odłączyć mnie od sieci do czasu pozbycia się wirusa/robala
Xenomorph, 11 czerwca 2008, 11:35
U mnie tak już jest od dawna, jak serwer wykryje u mnie wirusa, to blokuje mi dostęp do internetu, a zamiast jakiejkolwiek strony wyskakuje mi informacja, że mam zawirusowany komputer. Nie wiem tylko na jakiej zasadzie te wirusy są wykrywane, ale pewnie przez bazy wirusów.