Hunter

"Bullet-time" a kibertámadások ellen

Mérnökök megirigyelték a Mátrix bullet-time effektusát, ami az időt lelassítva bemutatta hogyan tér ki Neo a felé záporozó lövedékek útjából. A megoldást most a kibertámadások kivédésére szeretnék használni.

A Tulsa Egyetem biztonsági mérnökeinek ötlete szerint lelassítanák az internet forgalmat, köztük a kártékony adatokat, időt adva a hálózatoknak a támadásra való felkészülésre. Ennek érdekében, amikor kibertámadást észlelnek, egy algoritmus hipersebességű jeleket küld, megelőzve a kártékony adatcsomagokat, mozgósítva a védekezést. "Ha csupán néhány milliszekundummal lassítjuk a rosszindulatú forgalmat, azzal lehetővé tesszük a hipersebességű parancsoknak a hálózatvédelmi mechanizmus aktiválását" - mondta Sujeet Shenoi, a kutatás vezetője.

Ezekre a lépésekre azért van szükség, mert a kiberbűnözők egyre gyakrabban szemelnek ki kritikus ipari infrastruktúrákat, 2010-ben például a Stuxnet féreg Irán atomprogramját szabotálta. A féregről bebizonyosodott, hogy nem egy átlagos számítógép vírusról, sokkal inkább egy többfunkciós fegyverről van szó, ami átprogramozható bármely más kulcsfontosságú ipari létesítmény ellen. Az ipari rendszerek általában éveken át szoftverfrissítés vagy jelszócserék nélkül üzemelnek, ezért fokozottan sérülékenyek az ilyen támadásokkal szemben. Egy nagy sebességű jelzés segíthet, mondta Shenoi, bár nem lenne olcsó a meglévő hálózatok átalakítása a tulsai csapat algoritmusának futtatásához.

Miért? Mindenek előtt az adatok útvonalát le kellene foglalni a hipersebességű parancs és vezérlő jelek számára egy támadás során, ami költséges kapacitás-veszteséget jelenthet. Majd a támadás észlelése után a fertőzött adatforgalom lelassításához további pufferekre és tárterületre lenne szükség a lelassított adatcsomagok cacheléséhez, különben értékes adatok is elveszhetnek. Végül az új védelmi mechanizmust - beleértve a gyanús csomagok vizsgálatát, megjelölését és nyomon követését és a kockázatos csomagok karanténba helyezését - be kell programozni a hálózat routereibe és meg kell védeni a célba vett eszközöket.

A hipersebességű jelzés azonban csak annyira jó, mint amennyire veszélyérzékelői. A rendszer érzékelheti például a szövegfájloknak álcázott rosszindulatú program kódokat, de csak akkor, ha van valamilyen előzetes ismerete a vírusról vagy féregről. Az olyan változatok, amikkel még soha nem találkoztak az adatbiztonsági szakemberek, minden további nélkül áthatolhatnak a rendszeren, lehetővé téve egy Stuxnet stílusú támadás elindítását.

Ennek a kiküszöbölésére Shenoi folyamatosan hipersebességű módban tartaná a hálózatot, a telekommunikációs hálózatok lelassítása azonban nem igazán jó ötlet. Ezt oldhatja meg egy másik észlelési lehetőség, ami jelenleg még fejlesztés alatt áll. Az Egyesült Államok Energiaügyi Minisztériuma és a Nemzetbiztonsági Minisztérium által finanszírozott projektet Jason Reeves, a New Hampshire-i Dartmouth Főiskola számítógép tudósa vezeti, aki munkatársaival és a kanadai Calgary Egyetem kutatóival egy önmagát figyelő infrastruktúrán dolgozik. A rendszert úgy alakítják ki, hogy figyelmeztessen ha a szokásostól eltérő feldolgozási viselkedés alakul ki, például túl gyorsan pörögnek a motorok, ahogy az a Stuxnet esetében bekövetkezett 2010-ben.

Az amerikai-kanadai csapat szoftvere a kernelt figyeli. "Felfedezzük a változásokat a program által futtatott kód-szekvenciákban, amiket gyakran a rosszindulatú programok telepítenek" - magyarázta Reeves. "Emellett ellenőrizni tudjuk az operációs rendszer kódját, hogy lássuk, módosította-e malware." Rendszerük, amit jelenleg Linux operációs rendszert futtató beágyazott számítógépeken tesztelnek, jól kombinálható lenne a tulsai csapat hipersebesség-algoritmusával. "Rendszerünk észleli a megbízhatatlan viselkedést és a rendszeradminisztrátorra bízza a cselekvést" - mondta Reeves.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Guerilla #22
    Kozben talaltam egy erdekes oldalt, ajanlom mindenki szives figyelmebe:

    Ki a magyar?
  • Guerilla #21
    Ebben van igazsag, de sosem arrol volt szo, hogy kik az "arjak" es kik nem.
    Ki is a magyar manapsag? Meglatasom szerint magyar az, aki magyarkent el, gondolkodik, erez. Megeli a magyarsagat es legfokeppen tesz is azert, hogy magyarnak valhassa magat. Aki buszke a szarmazasara, aki tudja hogy honnan jott es ez az alapja a szemelyenek-szemelyisegenek.
  • Guerilla #20
    Ulj le, egyes!
  • Omega #19
    Sokakban lehet zsidó, szláv, cigány, stb. vér, azok körében is akik büszkék a fajtiszta származásukra és szidják a zsidókat meg a cigányokat. Senki sem tudhatja biztosan, hogy évszázadok és évezredek alatt milyen keveredésen mentek keresztül az ősei. A magyaroknak állítólag sokszínűek a génjeik, így zsidó telepesektől való származás nagyon is elképzelhető, csak azzal kitétellel, hogy zsidóktól is és másoktól is származik.
  • SchumiBacsi #18
    Nem értem ezt a bénázást.

    Nagyfeszhálózaton az erőművek, alállomások és elosztók, többnyire üvegszáloptikán kommunikálnak egymással, amin gondolom mehet a net is... ezek a védővezetőkben futnak az oszlopsorok legtetején.

    Kicsit melós, de atombiztos lenne ha lecserélnék dupla üvegszálra és egyiken száguldana a net ahogy akar, másikon meg dedikáltan menne a szűz erőművi hálózat. Létesítményekben belépéskor meg elkoboznák minden bevitelre alkalmas eszközt, és csak a céges ellenőrzött dolgokat lehetne használni... ja, WI-FI smafu és cső.

    Költséges de csak egyszer kellene megcsinálni, és garantáltan nem mókolnák meg 1× sem.
  • uwu312 #17
    Julianus barát óta van őstörténelem kutatás valamilyen formában, de ez nem ide tartozik.
  • Lucy in the Sky #16
    Itt ugye arról van szó, hogy késleltetem a forgalmat (tehát az eddigi normál sebesség "hiper" lett, grat, hát eldobom az agyam) azért, hogy... na várjunk, először is, honnan ismeri fel a "kártékony adatcsomagot"?

    Induljunk ki abból, hogy bármilyen védelemre érdemes rendszert eleve kizárólag SSL csatornán érünk el, amiből következik, hogy a csomagok tartalmának elemzésével semmire nem megyünk, kivéve persze ha a War On Terror újabb fejezetének nevében nem köteleznek a privát kulcsok átadására, de ez már rossz vicc kategória.

    Vannak akkor a headerek, abból egy normálisan beállított rendszerre veszélyt jelentő támadásra megintcsak nem lehet következtetni.

    Marad a jó öreg dos-ddos elleni védekezés, ehhez viszont minden csomópontnál minden csomagra rakni kell pár ms késleltetést, nehogy... megint, miért is? Ha hirtelen megugrik a forgalom egy bizonyos erőforrás felé, visszadobom a csomagokat? Denial of service, megelőzendő a denial of service jelenséget? WTF?

    És emlékezzünk pl. a USAF Creech bázis keylogger blamára, azt se gonosz hekkerek töltötték fel kívülről (legalábbis azt nyilatkozták h izolált rendszer), egyszerűen valami idióta bedugott egy pendrájvot, a vírus persze a szuperül felépített ms (filozófia: "a hülye is tudja kezelni", _de hogyan?!_) architektúra miatt mindenbe belemászott, alig bírták kiirtani, tán még a drónok rendszereit is újra kellett telepíteniük, napokig sz.ptak vele... Éles háborús helyzetben mekkora hecc lett volna már :)

    Ugyanígy, a stuxnet sem külső támadás során került a natanzi rendszerekre, wiki: "It is initially spread using infected removable drives", és a fertőzés után sem igényelt külső beavatkozást, egyszerűen időzítve volt - szóval _pont erre_ hivatkozva promotálni egy ilyen hálózati biztonsági rendszernek titulált nemtommit: fail.

    Baromság az egész, a kritikus rendszerek védelmét a kritikus rendszerekbe kell építeni, nem a Zinternetbe. Eléggé átlátszó fedősztori ez valami nagy disznósághoz.
  • Guerilla #15
    Hat, regen olvastam ekkora baromsagot..
    Inkabb te olvasgass kicsit a magyar ostortenetrol, genetikai vizsgalatokrol, a magyarsag europai es (igen) azsiai eredeterol.
    A zsidok alatt kulonben a kazarokat erted, ugye? Sehol sem voltak, mikor nekunk mar viragzo kulturank es civilizacionk volt.
    Es ezek tenykerdesek, keretik a cimkeket mellozni.
    Egy kerdesre valaszolj csak: miert nincsen a mai napig ostorteneti kutatasunk?
    Minden ilyen esetben 2 kerdest kell feltenni. Miert es kinek erte-eri meg?
    Mindenki dontse el maga, ha akarja, "csupan" gondolkodni kell hozza. No, meg nem art egy kis hatterismeret sem.

  • kvp #14
    A halozati forgalom lassitasa helyett egyszerubb lenne teljesen szurni azt. Tehat csomagellenorzo rendszerek es offline forgalomelemzes helyett protokoll szintu tuzfalakat hasznalni. (pl a magyar fejlesztesu zorp) Onnatol ami nem ismert az nem megy at egyaltalan. Ide lehet berakni a tartalom ellenorzest is. A viselkedes elemzo szoftverek helyett meg bizonsagi hibaktol mentes rendszereket kellene irni, akkor nem kell azt figyelni mit csinal eppen egy virus. Arrol nem beszelve, hogy a viselkedesi mintak elemzese is csak annyit er mint a minta adatbazis, tehat teljesen uj celzott szoftverek ellen semmit. Hardverek (pl. atomeromu) vedelmenel pedig erdemes olyan limitereket hasznalni amiket nem lehet szoftverbol felulbiralni.
  • MacropusRufus #13
    én ebbe nem akarok belemenni, hogy akkor ki miért kit és minek őlt meg.
    Én csak a lenti zsidózásra írtam, hogy nézzen magába.