Begrensninger på hvor mange nye forbindelser en datamaskin kan gjøre i løpet av en bestemt tidsperiode, kan være en effektiv strategi for å hindre spredningen av datavirus og ormer.
Ormer og virus er et økende problem for databrukere i hele verden. De kan for eksempel lamme bedrifter, forstyrre minibanker, forsinke fly og påvirke nødhjelpssentre.
Skade for 200 milliarder
Det er beregnet at viruset Sobig alene har forårsaket skade for mer enn 30 milliarder amerikanske dollar, eller over 200 milliarder norske kroner. Ekspertene er enige om at skaden kunne vært mye verre, og forskere har beskrevet muligheten for et virus som kan infisere hele Internett i løpet av 30 sekunder.
Den hittil raskeste ormen er Slammer, som spredte seg verden rundt på 13 minutter. Slike raske ormer og virus kan lage alvorlige forstoppelser og sammenbrudd i store nettverk.
Forskjellen på et virus og en orm, er at et virus trenger hjelp fra datamaskinens bruker for å spre seg videre. Virus på e-post krever for eksempel at du åpner e-posten eller vedleggene før det kan spre seg. En orm, derimot, kan spre seg på egen hånd, og derfor mye raskere enn virus.
3 000 i sekundet
En orm vil typisk prøve å spre seg til så mange maskiner som mulig på så kort tid som mulig. For eksempel infiserte Slammer rundt 3 000 maskiner i sekundet, mens Nimda prøver å infisere webservere i en fart på 400 maskiner i sekundet, noe som langt overgår farten til et menneske foran en datamaskin.
Den vanlige farten på forbindelser til nye webservere er én i sekundet for en vanlig bruker, ifølge en gruppe IT-forskere. I tidsskriftet Science fremhever de fartskontroller som et essensielt redskap i kampen mot virus og ormer i fremtiden.
Metoden er kalt “throttling”. En begrensning på én ny forbindelse i sekundet ville for eksempel slakke Nimda ned med en faktor på 400 uten å påvirke typisk legitim trafikk, mener forskerne.
Stopper ikke infeksjonen
- Fordi metoden fungerer ved å begrense farten på spredningen heller enn å stoppe den helt, eliminerer den ikke infeksjoner fullstendig, men slakker dem ned. Ofte er dette alt som trengs for å gjøre viruset harmløst eller lett å kontrollere med andre metoder, skriver de i sin artikkel.
Forskerne påpeker at metoden er mest effektiv når virus og ormer genererer trafikk som er mye høyere enn vanlig nettverkskommunikasjon.
I tillegg til å redusere spredningen av viruset, vil metoden også kunne redusere mengden trafikk som genereres av en epidemi, og dermed kunne dempe presset på nettverksutstyret. Overbelastet nettverk er ofte det viktigste symptomet på et angrep.
- Ikke god nok alene
- Dette har vi ikke satt oss inn i, men det virker veldig interessant, sier Ove Olsen, leder for SINTEFs Senter for informasjonssikring.
Daglig leder ved Symantec Norge, Henrik Vaage, er litt lunken:
- Det er en type teknologi man klart bør se på, men alene er den ikke god nok. Du har vel hørt fortellingen om sjakkbrettet?
Slaven og sjakkbrettet
I følge en persisk legende, ble sjakkbrettet oppfunnet av en av den persiske kongens tjenere. Kongen ble så begeistret at han ville belønne tjeneren, og ba ham ønske seg noe. Tjeneren ba om å få ett hvetekorn for den første ruten på sjakkbrettet, to for den andre, fire for den tredje og så videre. For hver ny rute på brettet fordoblet han antallet korn.
Kongen ble forundret over det han trodde var et beskjedent ønske. For å oppfylle det ville han imidlertid trengt 9 223 372 036 854 775 808 korn bare for rute nummer 64. Det er mye, mye mer en verdens årlige hveteproduksjon.
- Selv om du begrenser nye forbindelser til én i sekundet, vil maskinen fremdeles kunne ta kontakt med rundt to millioner maskiner på ett minutt. Metoden høres fin ut, men den vill ikke kunne begrense spredningen nok, sier Vaage.
Virusprodusentene tilpasser seg
Hver gang antivirusselskap kommer opp med en ny teknologi, tilpasser virusprodusentene koden så den kommer seg rundt den nye teknologien.
- Dersom vi begrenser antallet nye forbindelser for en datamaskin til én i sekundet, vil virusprodusentene tilpasse seg dette. Om et virus klarer å spre seg til to millioner maskiner på ett minutt, er det fremdeles nok til at det kan spre seg over hele verden på kort tid. Ved å utnytte en sårbarhet som finnes i mange datamaskiner, holder det klart å kontakte to millioner maskiner på ett minutt, sier Vaage.
Han forteller at Symantec ser på en annen type ny teknikk, som går ut på å definere sårbarheten i datasystemer, og forutsi hvordan koden vil se ut for et virus som prøver å utnytte denne sårbarheten.
Forutsier viruskoden
- Det går an å se på sårbarheten og finne ut hva slags nøkkel som trengs for å utnytte den. På bakgrunn av dette har vi i testmiljø klart å stoppe viruset Blaster uten noen gang å ha sett selve viruset, fordi vi visste noe om hvordan koden ville se ut, sier Vaage.
De raskeste virusprodusentene bruker i dag tre uker på å utnytte en sårbarhet etter at den er oppdaget - det gir fremdeles god tid, sammenlignet med hvor kjapt programmererne må reagere når et virus faktisk bryter ut.
- Når denne teknikken utvikles og foredles vil det ikke ta lang tid å lage en definisjon for en sårbarhet, og vi kan begynne å reagere i forkant istedenfor i etterkant, sier Vaage.
Han avskriver imidlertid ikke “throttling”-metoden.
- Merkbart for brukeren
- Dersom vi får gode metoder for å definere normalen for en maskin - altså hvor mange andre maskiner den vanligvis tar kontakt med, kan vi bygge videre på denne teknikken. Ifølge det jeg har lest kan en begrensning på én ny forbindelse i sekundet bli merkbart for brukeren, sier Vaage.
Han forteller at det i tillegg til å begrense antallet nye forbindelser, også er mulig å registrere om en datamaskin tar kontakt med andre maskiner enn de den vanligvis kommuniserer med.
Kø til nye verter
Mennesker arbeider slik på sine datamaskiner at det er større sjanse for at du kobler deg opp mot den samme webserveren flere ganger enn at du hele tiden oppsøker en ny datamaskin.
Med et filter som holder øye med den utgående trafikken, har forskere ved Hewlett-Packard Development Company tidligere eksperimentert med å stille forespørsler til nye verter som ikke nylig har blitt besøkt i kø, og forsinket dem et gitt tidsrom, for eksempel ett sekund.
Dersom køen med forespørsler til nye verter hoper seg opp, er det fare på ferde. Spredningen kan avbrytes og brukeren kan bli informert om den mistenkelige oppførselen.
Referanse:
Justin Balthrop, Stephanie Forrest, M. E. J. Newman, Matthew M. Williamson; Technological Networks and the Spread of Computer Viruses; Science; vol 304, utgave 5670, 527-529 , 23. april 2004; DOI: 10.1126/science.1095845.
Lenker:
Hewlett-Packard Development Company: Virus Throttling
Cooperative Association for Internet Data Analysis: En analyse av ormen Slammer