Hunter
"Bullet-time" a kibertámadások ellen
Mérnökök megirigyelték a Mátrix bullet-time effektusát, ami az időt lelassítva bemutatta hogyan tér ki Neo a felé záporozó lövedékek útjából. A megoldást most a kibertámadások kivédésére szeretnék használni.
A Tulsa Egyetem biztonsági mérnökeinek ötlete szerint lelassítanák az internet forgalmat, köztük a kártékony adatokat, időt adva a hálózatoknak a támadásra való felkészülésre. Ennek érdekében, amikor kibertámadást észlelnek, egy algoritmus hipersebességű jeleket küld, megelőzve a kártékony adatcsomagokat, mozgósítva a védekezést. "Ha csupán néhány milliszekundummal lassítjuk a rosszindulatú forgalmat, azzal lehetővé tesszük a hipersebességű parancsoknak a hálózatvédelmi mechanizmus aktiválását" - mondta Sujeet Shenoi, a kutatás vezetője.
Ezekre a lépésekre azért van szükség, mert a kiberbűnözők egyre gyakrabban szemelnek ki kritikus ipari infrastruktúrákat, 2010-ben például a Stuxnet féreg Irán atomprogramját szabotálta. A féregről bebizonyosodott, hogy nem egy átlagos számítógép vírusról, sokkal inkább egy többfunkciós fegyverről van szó, ami átprogramozható bármely más kulcsfontosságú ipari létesítmény ellen. Az ipari rendszerek általában éveken át szoftverfrissítés vagy jelszócserék nélkül üzemelnek, ezért fokozottan sérülékenyek az ilyen támadásokkal szemben. Egy nagy sebességű jelzés segíthet, mondta Shenoi, bár nem lenne olcsó a meglévő hálózatok átalakítása a tulsai csapat algoritmusának futtatásához.
Miért? Mindenek előtt az adatok útvonalát le kellene foglalni a hipersebességű parancs és vezérlő jelek számára egy támadás során, ami költséges kapacitás-veszteséget jelenthet. Majd a támadás észlelése után a fertőzött adatforgalom lelassításához további pufferekre és tárterületre lenne szükség a lelassított adatcsomagok cacheléséhez, különben értékes adatok is elveszhetnek. Végül az új védelmi mechanizmust - beleértve a gyanús csomagok vizsgálatát, megjelölését és nyomon követését és a kockázatos csomagok karanténba helyezését - be kell programozni a hálózat routereibe és meg kell védeni a célba vett eszközöket.
A hipersebességű jelzés azonban csak annyira jó, mint amennyire veszélyérzékelői. A rendszer érzékelheti például a szövegfájloknak álcázott rosszindulatú program kódokat, de csak akkor, ha van valamilyen előzetes ismerete a vírusról vagy féregről. Az olyan változatok, amikkel még soha nem találkoztak az adatbiztonsági szakemberek, minden további nélkül áthatolhatnak a rendszeren, lehetővé téve egy Stuxnet stílusú támadás elindítását.
Ennek a kiküszöbölésére Shenoi folyamatosan hipersebességű módban tartaná a hálózatot, a telekommunikációs hálózatok lelassítása azonban nem igazán jó ötlet. Ezt oldhatja meg egy másik észlelési lehetőség, ami jelenleg még fejlesztés alatt áll. Az Egyesült Államok Energiaügyi Minisztériuma és a Nemzetbiztonsági Minisztérium által finanszírozott projektet Jason Reeves, a New Hampshire-i Dartmouth Főiskola számítógép tudósa vezeti, aki munkatársaival és a kanadai Calgary Egyetem kutatóival egy önmagát figyelő infrastruktúrán dolgozik. A rendszert úgy alakítják ki, hogy figyelmeztessen ha a szokásostól eltérő feldolgozási viselkedés alakul ki, például túl gyorsan pörögnek a motorok, ahogy az a Stuxnet esetében bekövetkezett 2010-ben.
Az amerikai-kanadai csapat szoftvere a kernelt figyeli. "Felfedezzük a változásokat a program által futtatott kód-szekvenciákban, amiket gyakran a rosszindulatú programok telepítenek" - magyarázta Reeves. "Emellett ellenőrizni tudjuk az operációs rendszer kódját, hogy lássuk, módosította-e malware." Rendszerük, amit jelenleg Linux operációs rendszert futtató beágyazott számítógépeken tesztelnek, jól kombinálható lenne a tulsai csapat hipersebesség-algoritmusával. "Rendszerünk észleli a megbízhatatlan viselkedést és a rendszeradminisztrátorra bízza a cselekvést" - mondta Reeves.
A Tulsa Egyetem biztonsági mérnökeinek ötlete szerint lelassítanák az internet forgalmat, köztük a kártékony adatokat, időt adva a hálózatoknak a támadásra való felkészülésre. Ennek érdekében, amikor kibertámadást észlelnek, egy algoritmus hipersebességű jeleket küld, megelőzve a kártékony adatcsomagokat, mozgósítva a védekezést. "Ha csupán néhány milliszekundummal lassítjuk a rosszindulatú forgalmat, azzal lehetővé tesszük a hipersebességű parancsoknak a hálózatvédelmi mechanizmus aktiválását" - mondta Sujeet Shenoi, a kutatás vezetője.
Ezekre a lépésekre azért van szükség, mert a kiberbűnözők egyre gyakrabban szemelnek ki kritikus ipari infrastruktúrákat, 2010-ben például a Stuxnet féreg Irán atomprogramját szabotálta. A féregről bebizonyosodott, hogy nem egy átlagos számítógép vírusról, sokkal inkább egy többfunkciós fegyverről van szó, ami átprogramozható bármely más kulcsfontosságú ipari létesítmény ellen. Az ipari rendszerek általában éveken át szoftverfrissítés vagy jelszócserék nélkül üzemelnek, ezért fokozottan sérülékenyek az ilyen támadásokkal szemben. Egy nagy sebességű jelzés segíthet, mondta Shenoi, bár nem lenne olcsó a meglévő hálózatok átalakítása a tulsai csapat algoritmusának futtatásához.
Miért? Mindenek előtt az adatok útvonalát le kellene foglalni a hipersebességű parancs és vezérlő jelek számára egy támadás során, ami költséges kapacitás-veszteséget jelenthet. Majd a támadás észlelése után a fertőzött adatforgalom lelassításához további pufferekre és tárterületre lenne szükség a lelassított adatcsomagok cacheléséhez, különben értékes adatok is elveszhetnek. Végül az új védelmi mechanizmust - beleértve a gyanús csomagok vizsgálatát, megjelölését és nyomon követését és a kockázatos csomagok karanténba helyezését - be kell programozni a hálózat routereibe és meg kell védeni a célba vett eszközöket.
A hipersebességű jelzés azonban csak annyira jó, mint amennyire veszélyérzékelői. A rendszer érzékelheti például a szövegfájloknak álcázott rosszindulatú program kódokat, de csak akkor, ha van valamilyen előzetes ismerete a vírusról vagy féregről. Az olyan változatok, amikkel még soha nem találkoztak az adatbiztonsági szakemberek, minden további nélkül áthatolhatnak a rendszeren, lehetővé téve egy Stuxnet stílusú támadás elindítását.
Ennek a kiküszöbölésére Shenoi folyamatosan hipersebességű módban tartaná a hálózatot, a telekommunikációs hálózatok lelassítása azonban nem igazán jó ötlet. Ezt oldhatja meg egy másik észlelési lehetőség, ami jelenleg még fejlesztés alatt áll. Az Egyesült Államok Energiaügyi Minisztériuma és a Nemzetbiztonsági Minisztérium által finanszírozott projektet Jason Reeves, a New Hampshire-i Dartmouth Főiskola számítógép tudósa vezeti, aki munkatársaival és a kanadai Calgary Egyetem kutatóival egy önmagát figyelő infrastruktúrán dolgozik. A rendszert úgy alakítják ki, hogy figyelmeztessen ha a szokásostól eltérő feldolgozási viselkedés alakul ki, például túl gyorsan pörögnek a motorok, ahogy az a Stuxnet esetében bekövetkezett 2010-ben.
Az amerikai-kanadai csapat szoftvere a kernelt figyeli. "Felfedezzük a változásokat a program által futtatott kód-szekvenciákban, amiket gyakran a rosszindulatú programok telepítenek" - magyarázta Reeves. "Emellett ellenőrizni tudjuk az operációs rendszer kódját, hogy lássuk, módosította-e malware." Rendszerük, amit jelenleg Linux operációs rendszert futtató beágyazott számítógépeken tesztelnek, jól kombinálható lenne a tulsai csapat hipersebesség-algoritmusával. "Rendszerünk észleli a megbízhatatlan viselkedést és a rendszeradminisztrátorra bízza a cselekvést" - mondta Reeves.