Les Défenses De Ver


  Share  
|


Ainsi, les vers fortement destructifs pourraient être sur le chemin. Les investigations d'ordinateur autour du monde indiquent plusieurs de ces thèmes principaux dans de nouveaux outils d'attaque, et les attaquants dans le souterrain d'ordinateur examinent ces questions sur les emplacements publiquement accessibles de Web et causent des systèmes. Au delà de seules idées conceptuelles, une grande partie du code source pour construire des superworms est aisément disponible dans les pièces dispersées autour de l'Internet. C'est simplement une question de temps avant que quelqu'un prenne les pièces outre de l'étagère, les assemble, et lâche un superworm. Comment pouvons-nous parer cette menace ?

Vers Moraux ?

Une option que nous pourrions considérer implique d'employer de prétendus vers moraux pour contrecarrer les vers méchants. "les vers blancs parfois appelés," les vers moraux fixent des problèmes en appliquant des pièces rapportées ou en durcissant des arrangements de configuration avant qu'un ver malveillant puisse conquérir un système. Les vers moraux peuvent écarter des difficultés plus rapidement que tous les interfaces gestionnaire humains pourraient s'appliquer les à de grandes populations des machines. Cependant, pouvons-nous combattre le feu avec le feu sans obtenir brûlés ? Explorons le point de droit pour et contre l'usage des vers moraux pour parer la menace.

La caisse pour les vers moraux

Chaque jour, plusieurs nouvelles erreurs de programmation et même quelques vulnérabilités béantes de sécurité sont découverts et largement donnés de la publicité. Les fournisseurs libèrent de nouvelles pièces rapportées pour ces problèmes quotidiennement aussi bien. Sans pièce rapportée, le logiciel est fortement vulnérable à un attaquant. Sur le dégagement d'une pièce rapportée, les interfaces gestionnaire doivent déterminer que la pièce rapportée est disponible, figurent dehors si la pièce rapportée est exigée dans leur environnement, et obtenir la pièce rapportée. C'est juste le commencement de ce processus encombrant. Après, l'administrateur doit vérifier l'authenticité et l'intégrité de la pièce rapportée, de peur qu'un tour d'attaquant l'administrateur dans installer le logiciel malveillant déguisé comme pièce rapportée.

Est-ce que non seulement un ver moral éliminerait des faiblesses humaines de la boucle de l'déploiement de pièce rapportée, elle pourrait également appliquer les pièces rapportées beaucoup plus rapidement que des processus manuels et même d'autres moyens automatisés de distribution de logiciel. Quelques fournisseurs ont développé les dispositifs Internet-basés automatisés de mise à jour, notamment Microsoft avec son Windows mettent à jour l'outil et le Apple avec son dispositif de mise à jour de logiciel de MacOS aussi bien que plusieurs fournisseurs de Linux. Ces outils contactent automatiquement le fournisseur à travers l'Internet pour voir si les nouvelles pièces rapportées sont disponibles. Un utilisateur peut manuellement appeler ces dispositifs, ou un interface gestionnaire peut les programmer pour fonctionner aux heures prédéterminées. Bien qu'utile, même les outils de mise à jour de logiciel automatisés les plus merveilleux ne peuvent pas réaliser la diffusion d'sous-un-heure d'un ver en utilisant des techniques de Warhol/Flash. Ces techniques de mise à jour sont limitées du fait elles toutes sont basées sur une petite poignée d'emplacements actionnés par les fournisseurs de logiciel qui ont les pièces rapportées. Les vers ont écarté leur méchanceté de vers le haut des dizaines de milliers de systèmes. C'est un problème fortement distribué qui pourrait être soluble par les vers moraux d'une mode fortement distribuée. Un ver moral n'a pas la limitation du logiciel de distribution des quelques fournisseur-courent des emplacements. Au lieu de cela, il emploie la puissance distribuée inhérente de l'Internet elle-même de déployer des pièces rapportées plus rapidement que jamais avant possible.

Pour ces gens qui craignent des vers, moraux ou autrement, la communauté de fournisseur pourrait déployer les technologies qui contrôlent la diffusion des vers moraux. D'abord, nous pourrions permettre des utilisateurs et des interfaces gestionnaire à OPT-DANS au processus moral entier de ver. Un ver moral visitera seulement votre système, installera une pièce rapportée, et emploiera votre système pour écarter la pièce rapportée à d'autres si et seulement si vous acceptez explicitement de faire partie du processus global. Si vous trouvez des vers en soi dangereux ou autrement désagréables, vous pouvez choisir de choisir dehors. Le logiciel d'exploitation lui-même aurait une option de configuration pour souscrire au service moral de ver. Naturellement, en raison des considérations de vente, le service n'inclurait probablement pas le ver unglamorous de mot dans son nom. Au lieu de cela, un certain génie de vente sur l'avenue de Madison lui donnerait un moniker comme le TYPE de HANCHE (pour les pièces rapportées aidantes d'instrument en dehors Retardez en utilisant des efficacités distribuées, naturellement.

Le Point de droit Contre Les Vers Moraux

Cependant, tout n'est pas attrayant avec les vers moraux, qui pourraient s'avérer tout à fait dangereux. Un des plus grands soucis concernant les vers moraux est les dommages qu'ils pourraient involontairement infliger pendant qu'ils écartent par des réseaux et installent des pièces rapportées. Même si il propage flawlessly et installe des pièces rapportées efficacement, le ver moral pourrait raccorder un trou de sécurité qui d'une application les besoins particuliers désespérément de fonctionner correctement. Quelques applications dépendent fortement du fait que le logiciel d'exploitation ou le logiciel fondamental de serveur fonctionne d'une manière très particulière. Si ce comportement est changé par une pièce rapportée de sécurité, l'application elle-même pourrait se casser. Jusqu'à ce que l'application soit fixe, le résultat d'appliquer la pièce rapportée pourrait être une attaque de démenti-de-service.

Pour cette raison, des pièces rapportées sont habituellement examinées en détail pour s'assurer que tout fonctionne correctement après que la pièce rapportée soit installée. L'élément humain est nécessaire pour s'assurer que les pièces rapportées n'endommagent pas le système. Un ver moral installant des pièces rapportées willy-nilly casserait certainement beaucoup d'applications.

Puisqu'elles casseraient beaucoup d'applications, les vers moraux ouvrent des expositions potentielles énormes à la responsabilité légale. Supposez quelques dégagements de réalisateur de logiciel de sécurité de bien-signification un ver moral, essayant d'aider le monde en fixant dévaster, simple-à-exploitez le trou. Si ce ver endommage mes systèmes, je blâmerais probablement le réalisateur de logiciel de sécurité de casser mes machines, indépendamment de ses intentions pures. De même, si un fournisseur ou une compagnie d'antivirus libère un ver moral, apportant en bas d'un serveur de Web accueillant mes affaires d'e-commerce de la macaroni-et-fromage-maison-livraison d'million-dollar-par-heure, je pourrais pouvoir poursuivre le fournisseur pour des dommages.

Au delà du fournisseur, je pourrais même pouvoir poursuivre le propriétaire du système que le ver a sauté au loin avant qu'il ait raccordé ma machine. Bien qu'il n'ait pas été encore examiné dans les cours, il pourrait y avoir responsabilité ascendante significative pour le propriétaire d'un système employé pour endommager une autre machine sur l'Internet, indépendamment des intentions de propriétaire de sautent-au loin le point. Dans le contexte des vers moraux, le slob faible qui a choisi dedans à l'arrangement risqué de ver de TYPE de HANCHE moral écervelé est maintenant un défendeur dans un procès civil, probablement responsable des dommages. Le ver a sauté par son système avant de frapper le mien, ainsi il est responsable. Les vers moraux ont pu être une frénésie d'alimentation de responsabilité énorme pour des avocats recherchant des affaires nouvelles.

Est-ce qu'en outre, si un ver moral succède ma machine, l'inocule, et emploie mon système pour fixer d'autres machines, je ne devrais pas en avoir dis dans les détails de la participation de mon système dans ce processus ? Autrement, ce ver emploie ma largeur de bande pour distribuer des pièces rapportées à d'autres machines des personnes que je ne connais pas même. Si vous entaillez dans mon système, même avec des buts nobles, vous avez toujours violé l'intégrité de mes systèmes. Si quelqu'un pénétrait par effraction dans votre maison pour mettre des serrures sur les portes, vous sentir immobile violé. Même si nous déployons une certaine sorte de fantaisie OPT-DANS le système pour les vers moraux, les utilisateurs ne pourraient pas comprendre toutes les différences impliquées en choisissant dedans, qui incluent les issues de responsabilité juste décrites et probablement la consommation principale de largeur de bande.

Mon avis sur les vers moraux

J'étais au téléphone avec un ami qui est un gourou de sécurité à une compagnie de fortune 100 géante hier. Quand je lui ai dit au sujet de cet article que j'écrivais dit-il "ouais, nous discutions en utilisant les vers moraux pour écarter des pièces rapportées sur notre réseau global interne. Nous avons décidé contre lui parce qu'il a effrayé notre pantalon au loin!"

Avec ma ceinture et bretelles ayant une poignée ferme sur mon propre pantalon, je dois dire que je suis d'accord de tout coeur avec mon ami. À mon avis, les vers moraux sont trop risqués simplement donnés les avantages limités qu'ils peuvent offrir. En particulier, les issues légales de responsabilité sont primordiales. Voudriez-vous risquer la colère des milliers d'avocats affilant leurs couteaux pour vous poursuivre pour un ver moral allé de travers, pour aider juste à écarter quelques pièces rapportées sur l'Internet ? La plupart des compagnies de logiciel ne prendraient pas ce risque, et je ne les blâme pas du tout.

Ainsi, si nous éliminons les vers moraux tout à fait, contre quoi pouvez-vous faire pour nous obtenir prêt pour les vers de plus en plus méchants volonté à être bientôt vers le haut ? Explorons les diverses stratégies défensives que vous pouvez employer pour être prêt.

Antivirus : Une bonne idée, mais seulement avec d'autres défenses

Les solutions d'Antivirus vont un long chemin en arrêtant de diverses formes de malware. Et, je suis heureux de dire, les vers ne sont aucune exception. La plupart des fournisseurs d'antivirus font un travail raisonnable de libérer rapidement des signatures pour détecter et supprimer les derniers vers. En maintenant votre solution d'antivirus à jour, vous contrecarrerez un grand nombre de spécimens de ver.

Malheureusement, pour les vers en particulier depropagation, de ce type qui emploient les techniques de Warhol/Flash pour la propagation, une solution d'antivirus par elle-même n'est pas assez. Avec un ver de hyperfast écartant par l'Internet, beaucoup de nous ne pourra pas télécharger les dernières définitions de virus pour arrêter le ver à temps. Même avec l'incident diligent manipulant des équipes, les signatures mises à jour se déployantes pourraient prendre plusieurs heures ou même jours. Nous avons vu cet effet même en vers de Nimda et de SQL Slammer. Les fournisseurs d'antivirus avaient chargé des définitions sur leurs emplacements pendant que ces vers commençaient leur diffusion, mais la plupart de leurs clients ne se rendaient pas compte de l'attaque jusqu'à ce que le ver ait eu le frappement déjà venu sur leurs portes avant. Déployer des signatures après que le ver envahisse un réseau aide à contenir la diffusion, mais résulte toujours dedans beaucoup des dommages.

Par conséquent, les solutions d'antivirus sont un morceau important de la solution au problème des vers, mais elles ne sont pas la solution entière. En plus des solutions d'antivirus, nous devons étayer nos possibilités d'empêchement et de réponse, car nous verrons après.

Déployez les pièces rapportées de fournisseur et durcissez publiquement les systèmes accessibles

Pour empêcher des attaques de ver, il est crucial que votre organisation aient une ligne de base saine pour le bâtiment et les logiciels d'exploitation bloqués de maintien. Avant de mettre un système en ligne, vous devez appliquer toutes les pièces rapportées appropriées et durcir la configuration. Nous tous avons entendu ceci million de fois, pourtant ainsi beaucoup de systèmes continuent à être déployés avec la sécurité minimale. Avec des superworms sur le chemin, il est temps de devenir sérieux au sujet de créer les systèmes bloqués. Une variété d'organismes et les fournisseurs offrent durcir des guides pour différents types de logiciel d'exploitation. Suivez-les.

Une fois que vous avez déployé des systèmes avec une configuration bloquée, votre travail a juste commencé. Vous devez maintenir leur sécurité en appliquant des pièces rapportées de sécurité d'une mode opportune. Vous devriez souscrire à un certain nombre de listes d'expédition où de nouvelles vulnérabilités sont discutées. En outre, la plupart des fournisseurs ont leurs propres listes d'expédition pour discuter des vulnérabilités.

Vous devriez développer des processus spécifiques et commandés dans votre organisation pour identifier rapidement de nouvelles pièces rapportées de sécurité, pour les examiner complètement, et pour les entrer dans la production. Utilisez les dispositifs automatiques de mise à jour de logiciel que beaucoup de fournisseurs mettent en application sur l'Internet. En outre, assurez-vous que vous ne sautez pas la phase d'essai. Une pièce rapportée pourrait réparer une vulnérabilité de sécurité, mais elle pourrait également neutraliser votre application affaire-critique. Assurez-vous que votre équipe de sécurité a les ressources nécessaires pour examiner toutes les pièces rapportées avant le roulement elles dans la production.

Bloquez Les Raccordements En partance Arbitraires

Une fois qu'un ver assure un système, il essaye habituellement d'écarter en établissant les rapports sortants au balayage pour d'autres victimes potentielles. Vous devriez arrêter la plupart des vers dans leurs voies en limitant sévèrement tous les raccordements sortants de vos systèmes publiquement disponibles (par exemple, votre Web, DNS, E-mail, et serveurs de ftp). Beaucoup d'organismes filtrent fortement les raccordements entrants, mais oublient les raccordements sortants entièrement. Si un ver entre, de telles règles sortantes relâchées pourraient vous transformer en distributeur fortement infectieux de ver, écartant une contagion loin et au loin.

Vous vraiment devriez employer un couteau de frontière ou un mur à l'épreuve du feu externe pour bloquer tous les raccordements sortants de vos serveurs publiquement disponibles, à moins qu'il y ait un besoin spécifique d'affaires de raccordements sortants. Permettez seulement aux réponses (également connues sous le nom de paquets établis) de votre serveur de Web de sortir à l'Internet. Si vous devez permettre à quelques machines publiquement accessibles de lancer des sessions sortantes, permettez-le seulement à ces adresses d'IP qui sont absolument critiques. Par exemple, naturellement votre serveur de Web doit envoyer des réponses aux utilisateurs demandant des Pages Web, ainsi permettez-les. Mais, votre serveur de Web doit-il jamais lancer des raccordements à l'Internet ? Probablement, la réponse est "non."

Faites-vous et le reste de l'Internet une faveur et bloquez de tels raccordements sortants de vos serveurs d'Internet. En outre, filtres d'antispoof de sortie d'instrument, qui bloquent le trafic charrié sortant. Beaucoup de vers et agents de démenti-de-service charrient l'adresse qu'ils viennent de pour rendre des attaques traçantes bien plus difficiles. Si une partie quelconque de votre trafic d'épanchement de début de serveurs de DMZ avec des adresses d'IP non assignées à votre réseau, à filtres d'antispoof de sortie à votre mur à l'épreuve du feu de frontière ou à couteau laisseront tomber le paquet malveillant. Si chacun mettait en application des commandes de trafic sortantes et des filtres d'antispoof de sortie, nous aurions beaucoup plus la protection contre les vers méchants d'Internet.

Établissez Les Possibilités De Réponse D'Incident

Une autre chose que vous devez faire pour être prêt pour des superworms est de former une équipe de réponse d'incident d'ordinateur avec des procédures définies pour lutter des attaquants d'ordinateur, wormy ou autrement. Il y a quelques ressources merveilleuses disponibles décrivant comment former une équipe de réponse d'incident, avec des procédés pour manipuler des attaques d'ordinateur. Je recommande de vérifier la réponse d'incident de livre : Escroquerie informatique d'investigation, par Chris Prosise et Kevin Mandia. En outre, la manipulation d'incident de degré de sécurité d'ordinateur de guide d'institut de SANS : L'Étape-par-Étape est un grand point de départ pour développer des procédures efficaces de réponse d'incident.

Votre équipe de réponse d'incident devrait inclure des représentants de votre degré de sécurité d'ordinateur, de sécurité physique, d'opérations machine (administration de système), d'avocats-conseils légaux, de ressources humaines, et de groupes d'affaires publiques. Si vous excluez un quelconque de ces groupes, vous pourriez très bien vous trouver dans l'ennui. Partir hors des avocats-conseils légaux pourrait vous mener à violer par distraction la loi tout en traçant ou répondant à un incident. Partir hors des ressources humaines pourrait vous entrer dans l'eau chaude si vous violez les droits des employés. Omettez l'organisation d'affaires publiques de votre équipe, et vous ne pourriez pas avoir un bon, logique message pour les médias environ pourquoi vous avez été attrapé avec votre pantalon vers le bas pendant l'attaque la plus récente. Travaillant ensemble, les personnes avec ces domaines de spécialisation peuvent vous aider à adresser les diverses facettes d'intersection de la réponse d'incident d'ordinateur.

Bien que vous probablement n'ayez le personnel à temps plein et dévoué d'aucun de ces groupes (autre que l'équipe de degré de sécurité d'ordinateur), vous devriez avoir des membres debout d'équipe de réponse dont les tâches du travail incluent une fraction de leur temps assigné à l'équipe. Cette équipe devrait se réunir par trimestre pour discuter comment vous répondriez aux attaques d'ordinateur. Développez les scénarios hypothétiques d'attaque d'ordinateur et marchez par eux avec l'équipe, en s'assurant que chacun comprend le rôle approprié qu'ils servent sur l'équipe. En particulier, scénarios de couverture comportant des attaques de ver.

En conclusion, assurez-vous que votre incident manipulant l'équipe est lié avec des possibilités de gestion de réseau. Tristement, votre organisation pourrait devoir faire l'appel pour isoler des parties de votre opération du reste du réseau de la compagnie pour aider à arrêter un ver malveillant de prolifération. À un certain point, vous pourriez devoir prendre le téléphone et la parole, "démontez notre opération aux Philippines du réseau étendu, ou notre réseau interne entier descendra!" Ou, plus mauvais encore, vous pourriez devoir décider de démonter temporairement votre opération de l'Internet ainsi vous pouvez vous asseoir hors d'un épisode géant de ver. Dans la plupart des organismes, l'équipe de sécurité compte sur le personnel d'administration de réseau pour mettre en application cette sorte de changement, ainsi les a se tenir prêt si votre incident manipulant l'équipe fait un tel appel.

Rappelez-vous également qu'un tel commandant publie comme temporairement débranchant des réseaux sont des décisions économiques. Les gourous techniques donnent leur conseil au sujet de débranchage, mais les mensonges finals de jugement dans les mains des décideurs d'affaires qui pèsent les risques d'affaires de maintenir la connectivité de réseau. Assurez-vous que votre incident manipulant l'équipe sait qui pour appeler si une telle décision économique est nécessaire rapidement.

Ne jouez pas avec des vers, les même moraux, à moins que…

Comme nous avons vu, même un ver moral pourrait se transformer en attaque de démenti-de-service des applications inconsciemment de rupture ou en obstruant la largeur de bande d'un réseau. L'expérimentation avec des vers, moraux ou malveillants, n'est pas un effort d'être pris légèrement. Maintenez dans l'esprit que beaucoup de vers qui ont endommagé répandu ont été développés par les personnes qui ont prétendu juste rechercher des techniques de propagation de ver et ne pas projeter n'importe quoi malveillant. Ce groupe notable inclut Robert Tappan Morris, Jr. lui-même, auteur du ver célèbre d'Internet de 1988, mais sa création échappée de son laboratoire et milliers apportés des systèmes vers le bas autour du monde. Apprenons des erreurs de d'autres ; notre meilleur pari doit éviter de jouer avec des vers tout à fait, même si elles sont morales.

Cependant, si vous choisissez d'ignorer ce conseil sain et d'insister pour développer les vers moraux expérimentaux, considérez d'abord obtenir examiné par un expert en matière mental qualifié de santé ou avoir une causerie avec un conseiller moral sain. Puis, si vous insistez toujours pour la marche à suivre, vous devez limiter les dommages que vous causez si votre création échappe accidentellement à votre laboratoire. Ne pensez pas simplement, "je ne relierai jamais ce système à l'Internet, ainsi je serai sûr." Les accidents se produisent. Les prochains coups à votre porte pourraient être application de loi essayant de vous arrêter pour des dommages liés à un dégagement accidentel de ver. Les expérimentateurs de ver absolument doivent construire leurs vers en utilisant une technique connue sous le nom d'insuffisances de lysine. Un lotisseur très doué de logiciel appelé Caezar a écrit un document succinct décrivant les techniques, qui peuvent limiter les dommages du logiciel malveillant expérimental.

Les insuffisances de lysine d'expression ont provenu du parc jurassique de film. Du fait la bombe de grosse calibre, vous peut rappeler que les scientifiques ont copié des dinosaurs en utilisant l'ADN a trouvé en ambre antique et fossilisé. Pour empêcher leurs dinosaurs créés de dévorer les touristes innocents et égaliser l'amok de fonctionnement dans les villes, les scientifiques ont changé l'ADN de dinosaur ainsi les créatures résultantes ne pourraient pas survivre sans afflux de la lysine d'acide aminé en tant que suppléments diététiques. Si les dinosaurs n'obtenaient pas les injections constantes des substances riches en protéines, ils mourraient rapidement au loin.

En utilisant cette analogie, la diffusion d'un ver peut être commandée. Le ver est conçu pour s'arrêter dans ses voies et n'écartera pas à moins qu'il soit en présence constante de lysine numérique. Cette lysine a pu être un ensemble de paquets de balise envoyés à travers le réseau, ou même un dossier sur un logiciel d'exploitation. Si les balises s'arrêtent, ou si le dossier n'est pas présent sur un système de cible, le ver n'infectera pas toute autre machine. Si vous êtes assez fou pour écrire le code pour des vers, vous devriez prendre une page de parc jurassique et employer des insuffisances de lysine. Maintenez en outre dans l'esprit que le parc jurassique a eu un couple des suites, laissant entendre que même avec la planification soigneuse, les dinosaurs (et les vers) peuvent immobile limiter les dégats, même si vous avez les meilleures intentions dans le monde.

c'est un article supplémentaire par Sean Kazen


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions