Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Naukowcy z Ohio State University opracowali metodę powstrzymywania robaków komputerowych przed infekowaniem kolejnych maszyn. Robaki, które samodzielnie wyszukują i zarażają kolejne komputery, stanowią poważny problem. Przyczyniają się do wyłączeń komputerów i przestojów całych sieci.

W 2001 roku robak Code Red w ciągu 14 godzin zainfekował 350 000 komputerów. Specjaliści szacują, że na całym świecie straty w produktywności spowodowane działaniem Code Red wyniosły 2,6 miliarda dolarów. Ness Shroff i jego koledzy postanowili znaleźć sposób na wczesne zatrzymanie tego typu infekcji.

Kluczowym czynnikiem jest monitorowanie aktywności poszczególnych komputerów w Internecie. Gdy któryś z nich zaczyna nagle skanować wiele innych maszyn, jest to najczęściej wynik działalności robaka, który szuka kolejnych ofiar. Oczywiście każdy użytkownik wielokrotnie w ciągu dnia poleca swojemu komputerowi by wykonał skan, czyli, innymi słowy, odnalazł potrzebny mu adres IP. Robaki także sprawdzają adresy IP, ale czynią to ze znacznie większą częstotliwością i na znacznie większej grupie przypadkowych adresów. Głównym problemem było więc odróżnienie tych dwóch sytuacji: skanowania dokonywanego przez komputer na polecenie użytkownika oraz poszukiwania kolejnych ofiar przez zainfekowaną maszynę.

W 2006 roku, gdy Shroff pracował na Purdue University, doktorantka Sarah Sellka zasugerowała mu stworzenie matematycznego modelu rozprzestrzeniania się robaków komputerowych we wczesnych stadiach infekcji. Po stworzeniu modelu i przeprowadzeniu symulacji naukowcy stwierdzili, że właściwą liczbą skanów, po której należy zablokować komputer jest 10 000. To znacznie więcej połączeń z adresami IP, niż przeciętna maszyna wykonuje w ciągu miesiąca. Z drugiej strony zainfekowany komputer bardzo szybko wykona więcej niż 10 000 skanów. Robak musi rozprzestrzeniać się tak szybko, gdyż inaczej nie przetrwa - wyjaśnia Shroff.

Stworzone przez naukowców oprogramowanie zatrzymało testową infekcję robakiem Code Red. Podczas eksperymentów w 95% przypadków szkodliwy program nie był w stanie zarazić więcej, niż 150 komputerów. Akademicy użyli też Code Red II, robaka, który znacznie szybciej i efektywniej zaraża komputery. W 77% przypadków robakowi nie udało się wydostać poza sieć lokalną, w której rozpoczęła się infekcja. W 10-20 procentach przypadków przedostał się do jeszcze jednej sieci, ale nie był w stanie się z niej wydostać, a w 3 do 13% - zainfekował więcej niż jedną sieć, ale jego postępy zostały znacznie spowolnione. W każdym momencie obserwowano olbrzymi spadek aktywności robaka już w ciągu pierwszej godziny.

Oprogramowanie powstrzymujące robaka powinno być zainstalowane w sieci, która ma być chroniona. Jej administratorzy muszą wziąć pod uwagę też fakt, że w przypadku infekcji, automatycznie odłączy ono zarażone komputery od Internetu. Oczywiście po usunięciu szkodliwego kodu możliwe będzie ponowne włączenie maszyny do sieci.

Zdaniem Shroffa, dla większych firm nie będzie stanowiło to problemu. Może jednak przeszkadzać w pracy niewielkim przedsiębiorstwom.

Share this post


Link to post
Share on other sites

Wystarczyłaby odrobina dobrej woli ze strony dostawców dostępu do internetu, a problem przestałby istnieć już dawno.

Share this post


Link to post
Share on other sites

Choćby filtrowanie pakietów przechodzących przez ich routery. Przecież nietrudno zauważyć, że określony komputer zaczął intensywnie skanować adresy IP albo wysyłać pakiety charakterystyczne dla określonych szkodników. Tymczasem typowy dostawca internetu martwi się jedynie wtedy, gdy skanowane są porty w jego komputerach - wtedy podnosi alarm.

Share this post


Link to post
Share on other sites

OK, podałeś techniczną stronę rozwiązania. Jednak nie prowadzi ono do żadnej konkluzji. Nie do końca jestem w stanie sobie wyobrazić sytuację, w której provider po uprzednim zdiagnozowaniu robaka na Twoim komputerze metodą filtracji pakietów, będzie odłączał Ci dostęp do Internetu, a następnie przemiła Pani z call-center będzie telefonować i uprzejmie zawiadamiać, iż usługa będzie wznowiona po uprzednim "wyczyszczeniu" komputera...

Share this post


Link to post
Share on other sites

Dlaczego? To kwestia podpisania bardzo prostego aneksu do umowy, a może nawet zapisu w ustawie. Poczytaj sobie o tym, jak wielkie straty w gospodarce powodują robaki.

Share this post


Link to post
Share on other sites

cóż, ja kilka lat temu podpisywałem umowę z providerem i jeden punkt wyraźnie stwierdzał,że w razie infekcji mojego komputera mają prawo odłączyć mnie od sieci do czasu pozbycia się wirusa/robala

Share this post


Link to post
Share on other sites

U mnie tak już jest od dawna, jak serwer wykryje u mnie wirusa, to blokuje mi dostęp do internetu, a zamiast jakiejkolwiek strony wyskakuje mi informacja, że mam zawirusowany komputer. Nie wiem tylko na jakiej zasadzie te wirusy są wykrywane, ale pewnie przez bazy wirusów.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...