Черви в Сети

Одной из многих разновидностей вредоносных саморазмножающихся компьютерных программ является червь. В отличие от известного всем вируса, заражающего различные файлы, червь живет самостоятельно. Возможно, Вы не так часто слышали о нем, как о тех же вирусах, но это никак не уменьшает опасность деятельности червей. Их распространение в Сети может нести очень серьезные угрозы, такие, как похищение конфиденциальной информации или вывод из строя различных систем и серверов. И это не говоря еще о большом количестве траффика, которое может привести к крупным финансовым проблемам.

Но если существует столь серьезная проблема, разве не должно быть найдено её решение? Как защитить пользователей Сети от этой угрозы? В поисках ответов на эти вопросы ученые из университета штата Огайо и специалисты из Университета Пурдю создали новый метод, существенным плюсом которого является то, что он меньше, чем другие методы доставляет неудобств пользователям. Профессор Несс Шрофф пояснил, что метод лучше всего подходит к применению в корпоративных сетях для нахождения компьютеров, которые необходимо держать под наблюдением и проверять на наличие вредоносной программы.

Данная разработка отлично проявила себя при работе с червями, беспорядочно сканирующими Сеть в поисках уязвимых машин. Одной из таких программ является небезызвестный червь Code Red, который в 2001 году за 14 часов заразил компьютеры количеством около 360 тысяч и нанес ущерб в 2,6 миллиардов долларов. Прошло много времени, за которое этот червь был хорошо изучен, но не стоит недооценивать опасность, исходящую от него, как и от всех червей этого класса. По мнению Курта Ролоффа, исследователя из BBN Technologies, необходимо сначала разобраться в работе этих простых и маленьких вредоносных программ, чтобы что-то понять в деятельности более совершенных алгоритмов.

В основу разработки американских ученых положена более новая модель, показывающая перспективы размножения червей. Большинство современных аналогов этой модели основаны на поведении реальных эпидемий, и они вернее себя проявляют на поздних стадиях инфицирования. Смысл новой модели заключается в том, что перспектива размножения паразита зависит от количества сканирований Сети в поисках слабого места.

Основой иных методов контролирования размножения паразита является статистика изменений запросов от компьютера, т.е. насколько, как часто и за какое время меняется объем траффика, исходящий от пользователя. Но в таком случае, как пояснил Несс Шрофф, следует множество неудобств, ведь в карантин может попасть, как зараженная машина, активно рассылающая червей по сети, так и ни в чем не виновная, чей пользователь просто работает нестандартно (долго не пользовался компьютером, а тут, вдруг, начал активно использовать Интернет).

Чтобы исключить создание таких проблем, профессор предлагает ввести статистику запросов за более длительные периоды времени. По его словам, с помощью их разработки можно получить определенную информацию о паразите всякий раз, когда он применяет различные методы инфицирования, и даже если ему не удалось заразить кого-нибудь. Хоть выше и было сказано, что данная разработка более подходит для действий с червями, беспорядочно рыщущими по сети, но при определенных доработках, она может работать с паразитами, нападающими на определенные локальные сети и компьютеры.
Согласно данному методу, инфицированная машина выводиться из работы, поэтому он предназначен для тех случаев, когда можно быстро заменить зараженный компьютер на запасной, для продолжения работы во время осмотра специалистом зараженных машин.

И потому, к сожалению, применять эту разработку в домашних условиях и для малого бизнеса почти невозможно.

Но работа над системой не останавливается, и в будущем учеными планируется ввести ряд модификаций. Сейчас, по словам Шроффа, они делают возможным остановку эпидемии, еще на уровне зараженной машины. Также планируется создание ПО для роутеров, с помощью которого будет возможно отслеживать подозрительный траффик. Оно даст возможность мониторинга множества компьютеров из одного места. Но для этого понадобиться изменить работу маршрутизаторов, ведь в настоящее время они наблюдают только за местом, куда посылаются запросы, а для полной работы нового метода необходимо еще контролировать и источники.

Любопытно: компьютеры, компьютерные и телевизионные cети 10 лет назад