211service.com
Contenant des vers Internet
Selon une étude récemment publiée dans Transactions IEEE sur une informatique fiable et sécurisée . Bien que d'autres méthodes existent pour se protéger contre les vers, la nouvelle stratégie est conçue pour minimiser les interférences avec les habitudes de travail normales des utilisateurs, dit Ness Shroff , professeur au département de génie électrique de l'Ohio State University, qui a participé à la recherche. Les chercheurs envisagent que la technique soit utilisée dans les réseaux d'entreprise, où elle pourrait identifier les ordinateurs qui doivent être mis en quarantaine et vérifiés pour l'infection.
Les vers Internet peuvent être enrôlés pour lancer des attaques par déni de service, qui inondent un site Web afin que les utilisateurs légitimes ne puissent pas y accéder, ou installent des portes dérobées qui peuvent être utilisées pour créer des botnets . Un grand nombre d'ordinateurs infectés pourrait ralentir considérablement le trafic Internet, même si les vers ne font que se propager.
La méthode de l'Université Purdue et de l'État de l'Ohio pour empêcher la propagation des vers fonctionne principalement pour une classe de vers qui analyse Internet de manière aléatoire à la recherche de machines hôtes vulnérables à infecter. L'un de ces vers était Code Red , qui a infecté plus de 359 000 ordinateurs en moins de 14 heures en 2001, et a finalement causé des dommages estimés à 2,6 milliards de dollars. Bien que ce type de vers existe depuis un certain temps, Kurt Rohloff , un scientifique du groupe de technologie des systèmes distribués à BBN Technologies , dit qu'il est toujours dangereux. Il s'agit d'une classe de vers très simple qui est très facile à développer et à programmer, mais en même temps, ils ne sont pas aussi faciles à contenir, dit-il. Si nous pouvions comprendre ces vers assez simples mais toujours problématiques, nous pourrions, espérons-le, nous attaquer aux vers les plus sournois.
Les chercheurs fondent leur stratégie sur un nouveau modèle qu'ils ont conçu pour la propagation des vers. De nombreux modèles existants sont basés sur une analogie avec la propagation des épidémies, dit Shroff, mais ils sont plus précis aux stades ultérieurs d'une infection. Le modèle des chercheurs a été particulièrement conçu pour être précis dans les premiers stades de l'infection, et il a révélé que la clé pour savoir si un ver peut ou non se propager avec succès est le nombre total de fois qu'un hôte infecté analyse Internet pour tenter de trouver de nouveaux hôtes. Infecter.
Alors que d'autres méthodes de confinement des vers se sont concentrées sur la surveillance des ordinateurs pour les changements dans la vitesse à laquelle ils analysent Internet d'un instant à l'autre, Shroff dit que cela peut interférer avec les activités quotidiennes des utilisateurs. Les taux de numérisation fluctuent beaucoup, donc si vous allez en ligne, vous pouvez numériser plusieurs fois pendant une très courte période de temps, puis ne plus numériser du tout, dit-il. Nous avons estimé que le taux de balayage était trop restrictif et pouvait interférer avec le fonctionnement normal du réseau. En surveillant le volume d'analyses sur une plus longue période, dit-il, il est possible de contenir les vers tout en maintenant le seuil trop élevé pour que les utilisateurs ordinaires puissent déclencher des alarmes. Le logiciel peut surveiller le nombre d'analyses envoyées par chaque ordinateur sur un réseau et mettre en quarantaine tous les ordinateurs qui dépassent ce nombre. Shroff espère que la modification des critères de suspicion d'infection de cette manière réduira la probabilité que des analyses légitimes d'Internet soient signalées comme une activité de ver.
Dans un sens, ce que nous faisons, c'est profiter du fait que ce ver essaie beaucoup de choses et manque plusieurs fois, et chaque fois qu'il manque, il donne des informations, dit Shroff. Bien que le système soit conçu pour traiter les vers d'analyse qui recherchent des hôtes vulnérables au hasard, les chercheurs l'ont également adapté aux vers qui ciblent leurs attaques sur des réseaux locaux spécifiques.
Shroff pense que le système pourrait être mieux déployé sur les réseaux d'entreprise, en particulier dans les situations où des ordinateurs supplémentaires sont disponibles et pourraient couvrir une charge de travail pendant que les ordinateurs potentiellement infectés sont examinés. Cela pourrait ne pas fonctionner aussi bien pour les petites entreprises ou sur les réseaux domestiques, car mettre un ordinateur hors ligne pourrait être une perturbation trop importante pour les utilisateurs, dit-il.
Rohloff dit qu'il pourrait imaginer qu'un tel système soit efficace, mais il met en garde, Le biais, bien sûr, serait qu'il protégerait les réseaux locaux des infections déjà présentes dans le réseau. Cela ne ferait pas autant pour protéger les réseaux contre les infections provenant de l'extérieur. Il ajoute que même si le modèle et les simulations initiales des chercheurs semblent bons, il serait curieux de voir une analyse plus approfondie de la fréquence à laquelle le système soupçonne un ordinateur d'être infecté par un ver alors qu'aucun ver n'est réellement présent.
Les chercheurs de Purdue et de l'Ohio State suggèrent que les travaux futurs pourraient rechercher des moyens d'adapter leurs outils à des vers toujours plus ciblés. Shroff dit que tandis que lui et ses collègues se concentrent maintenant sur l'arrêt des vers au niveau des ordinateurs hôtes, une autre direction possible pourrait être de créer un logiciel qui permettrait aux routeurs de surveiller les modèles de trafic suspects. Bien qu'une telle approche puisse permettre de surveiller un nombre relativement important d'ordinateurs à partir d'un seul point, elle nécessiterait également des changements importants dans le fonctionnement des routeurs. Bien qu'ils ne gardent actuellement une trace que de la destination du trafic Internet, ils devraient également commencer à suivre sa source.