Worm Defenses


  Share  
|


Dus, kan zeer destructieve wormen op de weg. Computer onderzoeken over de hele wereld draaien op verschillende van deze belangrijke thema's in de nieuwe aanval tools, en aanvallers in de computer ondergrondse bespreken deze items op openbaar toegankelijke websites en systemen chat. Beyond louter conceptuele ideeën, veel van de broncode voor de bouw van superworms is direct beschikbaar in delen verspreid over het internet. Het is gewoon een kwestie van tijd voordat iemand neemt de onderdelen van de plank, assembleert ze en ontketent een superworm. Hoe kunnen wij tegen deze dreiging?

Ethische Worms?

Een optie die we zouden kunnen overwegen gaat met behulp van zogenaamde ethische vervelende wormen wormen te dwarsbomen. Soms ook wel "witte wormen," ethische wormen problemen op te lossen door het toepassen van patches of verharding configuratie-instellingen voor een schadelijke worm kan veroveren een systeem. Ethische wormen kunnen verspreiden herstelt sneller dan een mens systeembeheerders kunnen toepassen op grote populaties van machines. We kunnen echter bestrijden vuur met vuur zonder te verbranden? Laten we de argumenten voor en tegen het gebruik van ethische wormen om de dreiging tegen te gaan.

The Case voor Ethische Worms

Elke dag worden verschillende nieuwe software bugs en zelfs enkele gapende beveiligingslekken ontdekt en op grote schaal bekendheid. Verkopers release nieuwe patches voor deze problemen dagelijks ook. Zonder de patch, is de software zeer kwetsbaar voor een aanvaller. Op de release van een patch moet systeembeheerders bepalen dat de patch beschikbaar is, erachter te komen of de patch nodig is in hun omgeving, en het verkrijgen van de patch. Dat is nog maar het begin van dit omslachtig proces. Vervolgens moet de beheerder controleert de authenticiteit en integriteit van de patch, opdat een aanvaller truc met de beheerder in het installeren van schadelijke software, vermomd als een patch.

Niet alleen zou een ethische worm menselijke zwakheden van de lus van de pleister inzet te heffen, kan het ook van toepassing zijn de patches veel sneller dan handmatige processen en zelfs ander geautomatiseerd middel van software distributie. Sommige leveranciers hebben geautomatiseerde internet-gebaseerde update functies, met name Microsoft met zijn Windows Update tool en Apple met zijn MacOS Software Update functie ontwikkeld evenals verschillende Linux-leveranciers. Deze tools automatisch contact op met de verkoper over het internet om te zien of er nieuwe patches beschikbaar zijn. Een gebruiker kan handmatig beroepen op deze functies, of een systeembeheerder kan schema hen te lopen op vooraf bepaalde tijdstippen. Hoewel nuttig, kan zelfs de meest fantastische automatische software-update tools niet bereiken van de onder-een-uur verspreiding van een worm met behulp van Warhol / Flash-technieken. Deze update technieken zijn beperkt in dat ze allemaal zijn gebaseerd op een handjevol sites die door softwareleveranciers die de patches hebben. Wormen verspreiden hun boosheid uit naar boven van tienduizenden van systemen. Dit is een zeer verspreide probleem dat kan worden oplosbaar door ethische wormen in een zeer verspreide manier. Een ethische worm heeft niet de beperking van de distributie van software van een enkele leverancier-run sites. In plaats daarvan gebruikt het de inherente verdeeld kracht van het internet zelf te patches implementeren sneller dan ooit tevoren mogelijk.

Voor die mensen die vrezen wormen, ethische of anderszins, kan de verkoper gemeenschap technologieën in te zetten dat het beheer van de verspreiding van ethische wormen. Eerst zouden we kunnen gebruikers en systeembeheerders tot opt-in voor het gehele ethische worm proces. Een ethische worm wordt alleen bezoek je systeem, installeren van een patch, en gebruik maken van uw systeem om de patch te verspreiden aan anderen als en alleen als u expliciet akkoord met deel uitmaken van het totale proces. Indien u wormen vinden intrinsiek gevaarlijke of anderszins onaangenaam, kun je kiezen voor opt-out. Het besturingssysteem zelf zou hebben een configuratie-optie voor een abonnement op de ethische worm dienst. Natuurlijk, als gevolg van marketing overwegingen, zou de dienst waarschijnlijk niet het unglamorous woord worm in haar naam. In plaats daarvan zouden sommige marketing genie op Madison Avenue geef het een bijnaam als HIP DUDE (voor ondersteuning van de uitvoering Patches onverwijld Gebruik makend Distributed Efficiëntieverbeteringen, natuurlijk.

De zaak tegen Ethische Worms

Toch is niet alles rooskleurig met ethische wormen, die zouden kunnen blijken te zijn heel gevaarlijk. Een van de grootste bezorgdheid over de ethische wormen is de schade die zij zouden kunnen onopzettelijk toebrengen als ze verspreid via netwerken en patches te installeren. Zelfs als het zich voortplant foutloos en installeert patches effectief, zou de ethische worm patch een gat in de beveiliging dat een bepaalde toepassing dringend nodig heeft om goed functioneren. Sommige applicaties zijn sterk afhankelijk van het feit dat het onderliggende besturingssysteem of server software werkt op een heel bijzondere manier. Als dit gedrag wordt veranderd door middel van een beveiligingspatch, de toepassing zelf kon breken. Totdat de aanvraag wordt vastgesteld, kan het resultaat van de toepassing van de patch een denial-of-service-aanval.

Om deze reden zijn patches doorgaans in detail getest om te controleren of alles naar behoren werkt na de patch is geïnstalleerd. Het menselijke element is nodig om ervoor te zorgen patches niet het systeem beschadigen. Een ethische worm installeren van patches nolens volens zeker zou breken vele toepassingen.

Omdat ze veel toepassingen zou breken, ethische wormen openen enorme potentiële blootstellingen aan de wettelijke aansprakelijkheid. Stel dat een aantal goedbedoelde security software ontwikkelaar releases een ethische worm probeert de wereld te helpen door de vaststelling van een verwoestende, eenvoudig te exploiteren gat. Als deze worm schadevergoeding mijn systemen, zou ik waarschijnlijk de schuld van de security software ontwikkelaar voor het breken van mijn machines, ongeacht zijn zuivere bedoelingen. Evenzo, wanneer een leverancier of antivirus bedrijf een ethische worm releases, het terugdringen van een webserver hosting Mijn miljoen-dollar-per-uur macaroni-en-kaas-home-delivery e-commerce, zou ik in staat zijn om de verkoper te vervolgen voor schadevergoeding.

Afgezien van de verkoper zou ik zelfs in staat zijn om eigenaar van het systeem dat de worm sprong dagvaarden voordat het mijn machine gepatched. Hoewel het nog niet is getest bij de rechter, kunnen er aanzienlijke stroomopwaarts aansprakelijkheid voor de bezitter van een systeem dat wordt gebruikt om een andere machine beschadigen op het internet, ongeacht de bedoelingen van de eigenaar van de jump-off point. In het kader van ethische wormen, de arme Slob, die aangemeld voor de onnadenkend ethische worm HIP DUDE riskant regeling is nu een gedaagde in een civiele rechtszaak, eventueel verantwoordelijk voor de schade. De worm sprong door zijn systeem voor het raken van de mijne, dus hij verantwoordelijk is. Ethische wormen kunnen een enorme aansprakelijkheid Feeding Frenzy voor advocaten op zoek naar nieuwe bedrijven.

Bovendien, als een ethische worm overneemt mijn machine, geúnoculeerden, en gebruikt mijn systeem naar andere machines vast te stellen, zou ik geen enkele zeg in de details van de betrokkenheid van mijn systeem in dit proces? Anders is deze worm gebruik van mijn bandbreedte om patches te verspreiden naar andere machines van mensen die ik niet eens weten. Als u inbreken in mijn systeem, ook met nobele doeleinden, heb je nog steeds geschonden integriteit van mijn systemen. Als iemand brak in uw huis om sloten op de deuren, zou je nog altijd geschonden. Zelfs als we een soort van verbeelding inzetten opt-in systeem voor ethische wormen, kunnen gebruikers niet begrijpen alle afwegingen die betrokken zijn bij opting-in, die zowel de aansprakelijkheid zojuist beschreven problemen en eventueel grote bandbreedte verbruik op te nemen.

Mijn advies over "Ethische Worms

Ik was aan de telefoon met een vriend die een zekerheid goeroe op een reus Fortune 100 bedrijf gisteren. Toen ik hem vertelde over dit artikel dat ik aan het schrijven was, zei hij: 'Ja, we waren debatteren met behulp van ethische wormen te patches verspreid over onze interne wereldwijde netwerk. We hebben besloten tegen omdat het bang onze broek af! "

Met mijn riem en bretels met een stevige grip op mijn eigen broek, moet ik zeggen dat ik het volledig eens ben met mijn vriend. Naar mijn mening, ethische wormen zijn gewoon te riskant, gezien de beperkte voordelen die zij kunnen bieden. In het bijzonder zijn de juridische aansprakelijkheid problemen voorop. Zou je willen dat de toorn van duizenden advocaten slijpen hun messen risico om u te dagvaarden voor een ethisch worm scheef gegaan, gewoon om te helpen verspreiden sommige plekken op het Internet? De meeste software bedrijven zou dat risico niet nemen, en ik hen niet kwalijk at all.

Dus, als we uitsluiten ethische wormen helemaal, wat kunt u doen om klaar te zijn voor de steeds smerige wormen we al snel op tegen? Laten we verkennen verschillende defensieve strategieën u kunt gebruiken om je klaar.

Antivirus: Een goed idee, maar alleen met de overige Defenses

Antivirus oplossingen gaan een lange weg te stoppen in verschillende vormen van malware. En, ik ben blij om te zeggen, wormen zijn geen uitzondering. De meeste antivirus verkopers doen een redelijke baan van snel vrijgeven handtekeningen op te sporen en uit te roeien de nieuwste wormen. Door het houden van uw antivirus oplossing up-to-date, zult u dwarsbomen een groot aantal worm exemplaren.

Helaas, voor bijzonder snel verspreidende wormen, zoals die welke gebruik maken van de Warhol / Flash-technieken voor de voortplanting, een antivirus-oplossing op zich is niet genoeg. Met een Hyperfast worm verspreidt via het internet, veel van ons zullen niet in staat zijn om de laatste virusdefinities downloaden om de worm te stoppen in de tijd. Zelfs met ijverige ploegen incident handling, implementeren bijgewerkt handtekeningen kon nemen enkele uren of zelfs dagen. We zagen dit zeer effect in zowel de Nimda en SQL Slammer-worm. De leveranciers van antivirusprogramma had definities geladen op hun sites als deze wormen begonnen met de verspreiding, maar de meeste van hun klanten zich niet bewust waren van de aanval totdat de worm al was komen kloppen op de voordeur. Implementeren handtekeningen na de worm een netwerk helpt de verspreiding binnendringt, maar toch leidt tot een goede deal van schade.

Daarom, antivirus-oplossingen zijn een belangrijk stuk van de oplossing voor het probleem van de wormen, maar ze zijn niet de hele oplossing. Naast antivirus oplossingen, moeten we naar de wal van zowel onze preventie en reactie mogelijkheden, zoals we volgende zult zien.

Deploy Vendor Patches en Harden publiek toegankelijke Systems

Om te voorkomen dat worm aanvallen, is het cruciaal dat uw organisatie over een solide basis voor het opbouwen en onderhouden van veilige besturingssystemen. Alvorens een systeem online, moet u gebruikmaken van alle relevante patches en verharden de configuratie. We hebben allemaal gehoord dat een miljoen keer, en toch zo veel systemen verder te zetten met minimale beveiliging. Met superworms op de weg, is het tijd om ernstig over het creëren van veilige systemen. Een verscheidenheid van organisaties en leveranciers bieden verharding gidsen voor diverse soorten besturingssysteem. Volg hen.

Zodra u systemen hebben geïmplementeerd met een beveiligde configuratie, is je baan net begonnen. Je moet behouden hun veiligheid door het toepassen van security patches tijdig. U moet zich abonneren op een aantal mailinglijsten waar nieuwe kwetsbaarheden worden besproken. Ook de meeste leveranciers hebben hun eigen mailinglijsten voor de bespreking van kwetsbaarheden.

Je moet het ontwikkelen van specifieke, gecontroleerde processen in uw organisatie snel te identificeren nieuwe security patches, grondig testen, en verplaats ze in productie genomen. Gebruik de automatische software-update biedt veel leveranciers zijn uitvoering op het internet. Ook, zorg ervoor dat je niet overslaan de testfase. Een patch kan repareren van een beveiligingsprobleem, maar het kan ook uitschakelen uw bedrijfskritische applicatie. Controleer uw veiligheid team heeft de middelen die nodig zijn om alle patches te testen voordat ze rollen in productie genomen.

Blok willekeurige uitgaande verbindingen

Zodra een worm neemt een systeem, probeert het meestal te verspreiden door het maken van uitgaande verbindingen om te zoeken naar andere potentiële slachtoffers. U moet stoppen met de meeste wormen in hun sporen aanzienlijke mate te beperken door alle uitgaande verbindingen vanaf uw publiek beschikbare systemen (zoals bijvoorbeeld uw web, DNS-, e-mail-en FTP-servers). Veel organisaties zwaar filter inkomende verbindingen, maar vergeet uitgaande verbindingen volledig. Als een worm komt in dergelijke lakse uitgaande regels kan je veranderen in een zeer besmettelijke worm distributeur, verspreiding van een besmetting heinde en verre.

Je moet echt gebruik maken van een grens router of externe firewall aan alle uitgaande verbindingen blokkeren van uw publiek beschikbare servers, tenzij er een specifieke zakelijke behoefte voor uitgaande verbindingen. Laat alleen antwoorden (ook bekend als gevestigde pakketten) van uw webserver om uit te gaan met het internet. Als u hoeft toe te staan een aantal publiek toegankelijke machines uitgaande sessies te leiden, laat het alleen die IP-adressen die absoluut kritisch zijn. Bijvoorbeeld, natuurlijk uw webserver moet antwoorden te sturen naar gebruikers die webpagina's, zodat zij zo. Maar heeft uw webserver ooit nodig om verbindingen te leiden met het internet? Waarschijnlijk is het antwoord "Nee!"

Doe jezelf en de rest van het Internet een plezier en blokkeren deze uitgaande verbindingen van uw Internet-servers. Ook voeren egress antispoof filters, die vervalste uitgaand verkeer te blokkeren. Veel wormen en denial-of-service agents spoofen het adres waar deze vandaan komen om traceren aanvallen nog moeilijker. Als een van uw DMZ servers beginnen spuwen verkeer met IP-adressen niet is toegewezen aan uw netwerk, zal egress antispoof filters op uw grens firewall of router druppel de kwaadwillige pakket. Als iedereen uitgaand verkeer controleert en uitgang antispoof filters toegepast, zouden we veel meer bescherming tegen vervelende internet wormen.

Vaststelling van Incident Response Capabilities

Een ander ding dat je moet doen om klaar te zijn voor superworms is om een computer incident response team met gedefinieerde procedures voor de strijd computer aanvallers, kruiperig of anderszins. Er zijn een aantal geweldige middelen beschikbaar wordt beschreven hoe te vormen van een incident response team, samen met de processen voor de afhandeling van de computer aanvallen. Ik beveel het controleren van het boek Incident Response: Onderzoek Computer Crime, door Chris Prosise en Kevin Mandia. Ook het SANS Institute gids Computer Security Incident Handling: Step-by-Step is een geweldig uitgangspunt voor de ontwikkeling van doeltreffende incident response procedures.

Uw incident response team moet bestaan uit vertegenwoordigers van uw computer veiligheid, fysieke veiligheid, computer activiteiten (systeembeheer), legal counsel, human resources, en public affairs groepen. Als u een van deze groepen weglaten, zou je heel goed je in de problemen. Leaving out raadsman zou kunnen leiden u per ongeluk de wet overtreden, terwijl de opsporing of reageren op een incident. Leaving out personeelskosten kunnen krijg je in heet water als u de rechten van een werknemer schenden. Weglaten van de public affairs organisatie van je team en je misschien nog een goede, coherente boodschap voor de media over de reden waarom je gevangen met je broek omlaag tijdens de meest recente aanval. Samen werken, kunnen mensen met deze gebieden van expertise helpen u het adres van de verschillende facetten van de kruisende computer incident response.

Hoewel je waarschijnlijk geen full-time hebt, besteed het personeel van een van deze groepen (andere dan de computerbeveiliging team), moet je staande reactie teamleden opdrachten wiens taak het onder meer een fractie van hun tijd toegewezen aan het team. Dit team moet voldoen kwartaal te bespreken hoe je zou reageren op de computer aanvallen. Ontwikkelen computer aanvallen hypothetische scenario's en wandeling door hen met het team en zorg ervoor dat iedereen begrijpt de geëigende rol die zij dienen op het team. Met name betrekking hebben op scenario's van worm-aanvallen.

Tot slot, zorg ervoor dat uw incident afhandeling team is verbonden met vermogens netwerkbeheer. Helaas kan uw organisatie nodig om de oproep om gedeelten van uw operatie te isoleren van de rest van het netwerk van het bedrijf te helpen bij arrestatie een prolifererende kwaadaardige worm. Op een gegeven moment kan je op te halen de telefoon en zegt: 'Haal onze werking in de Filippijnen van het Wide Area Network, of onze gehele interne netwerk zal gaan! " Of, erger nog, zou je moeten besluiten om tijdelijk loskoppelen uw operatie van het internet, zodat u kunt zitten op een gigantische worm episode. In de meeste organisaties, het security-team vertrouwt op personeel netwerk administratie te voeren dat de aard van wijziging, dus hebben ze klaar als uw incident afhandeling team maakt een dergelijke oproep.

Onthoud ook dat een dergelijke belangrijke kwesties als tijdelijk loskoppelen van netwerken zijn zakelijke beslissingen. De technische goeroes geven hun advies over ontkoppeling, maar de uiteindelijke beslissing ligt in de handen van de besluitvormers in bedrijven die wegen de zakelijke risico's van de handhaving van de netwerkverbinding. Zorg ervoor dat uw incident afhandeling team weet wie te bellen, indien deze een zakelijke beslissing snel nodig is.

Don't Play met Worms, zelfs ethische Ones, Tenzij ...

Zoals we hebben gezien, zou zelfs een ethisch worm te zetten in een denial-of-service aanval door onbewust breken toepassingen of verstikking de bandbreedte van een netwerk. Experimenteren met wormen, hetzij ethische of kwaadaardig is, is geen poging om lichtvaardig worden genomen. Houd in gedachten dat veel wormen die grote schade aangericht werden ontwikkeld door mensen die beweerden gewoon te onderzoeken worm vermeerdering technieken en niet van plan iets kwaadaardig. Deze opmerkelijke groep omvat Robert Tappan Morris, Jr zelf, auteur van de beroemde Internet Worm van 1988, maar zijn creatie ontsnapt uit zijn laboratorium en bracht duizenden van de systemen van de hele wereld. Laten we leren van de fouten van anderen, onze beste inzet is om te voorkomen dat het spelen met wormen helemaal, ook al zijn ze ethisch.

Maar als u kiest voor deze gedegen advies te negeren en aan te dringen op het ontwikkelen van experimentele ethische wormen, eerste overwegen om onderzocht door een gekwalificeerde deskundige geestelijke gezondheid of die een praatje met een solide ethisch adviseur. Dan, als je nog steeds aandringen op procedure, moet u de schade beperken veroorzaken als u uw creatie per ongeluk uw laboratorium ontsnapt. Niet alleen denken, "Ik zal nooit aansluiten dit systeem met het internet, dus ik zal veilig zijn." Ongelukken gebeuren. De volgende klop op je deur zou kunnen worden rechtshandhaving proberen om je te arresteren voor schade in verband met een toevallige worm release. Worm proefnemers absoluut moet construeren hun wormen met behulp van een techniek die bekend staat als lysine tekortkomingen. Een zeer getalenteerde software-ontwikkelaar genaamd Caezar schreef een korte paper beschrijft de technieken, die kan de schade beperken van de experimentele kwaadaardige software.

De zinsnede lysine gebreken ontstaan in de film Jurassic Park. In dat blockbuster kan u zich herinneren dat wetenschappers gekloonde dinosaurussen met behulp van DNA gevonden in oude, versteende barnsteen. Om hun ontstaan dinosaurussen voorkomen verslinden onschuldige toeristen en zelfs lopen amok in de steden, de wetenschappers veranderde de dinosaurus DNA, zodat de daaruit voortvloeiende schepselen kon niet overleven zonder een toevloed van het aminozuur lysine als voedingssupplementen. Indien de dinosaurussen niet constant injecties van lysine-rijke stoffen te krijgen, zouden ze snel sterven ze af.

Met behulp van deze analogie, verspreiden een worm kan worden gecontroleerd. De worm is ontworpen om te stoppen in zijn tracks en zal niet uitbreiden, tenzij het is in de constante aanwezigheid van digitale lysine. Dit lysine kan een set van baken pakketjes verzonden over het netwerk, of zelfs een bestand op een besturingssysteem. Als de bakens te stoppen, of als het bestand niet aanwezig is op een doelsysteem, wordt de worm niet infecteren verdere machines. Als je gek genoeg zijn om code voor wormen te schrijven, moet u een pagina uit Jurassic Park en het gebruik lysine tekortkomingen. Ook in gedachten houden dat Jurassic Park had een paar vervolgen, hintte dat zelfs met een zorgvuldige planning, dinosaurussen (en wormen) nog steeds kunnen grote schade aanrichten, zelfs als je de beste bedoelingen in de wereld.

een artikel afkomstig van Sean Kazen

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions