Total Security - totalsecurity.com.br
Gerais
Domingo - 25 de Janeiro de 2004 às 23:12
Por: Birkoff

    Imprimir


Novos vírus de computador e worms podem correr o mundo em questão de horas, deixando um rastro de destruição, porque firewalls e antivírus trabalham através da identificação de marcas características de ataques conhecidos. Não tem eficácia contra vírus e worms completamente novos.

Mas engenheiros de software da Icosystem de Cambridge, Massachutsetts, desenvolveram um programa que pode prever o que vai acontecer relacionado a futuros vírus e ataques hackers baseado em informações de vírus e ataques já conhecidos. A compania está testando a técnica com a ajuda do Comando de Investigação de Crimes em Computador do exército norte-americano, em Fort Belvoir, Virginia.

A idéia é gerar as novas ténicas de ataque centralizadamente, e então atualizar remotamente os softwares de detecção de invasão que protegem computadores e redes ao redor do mundo. Isto permitiria a eles reconhecer padrões de ataque antes mesmo de hackers os desenvolverem.

A primeira versão do sistema é pensada para prever ataques hackers - embora a mesma técnica seja aplicável aos vírus. Ela funciona através da mutação de pequenos programas ou scripts que hackers usam para invadir computadores, ou programas que são instalados nos computadores para uso futuro.

O resultado são rotinas de ataque geradas artificialmente que poderiam ser ensinadas a sistemas de segurança, permitindo aos mesmos se proteger de ataques que nunca haviam sido vistos.

Auto destruição

Muitos ataques tem como alvo bugs bem conhecidos em softwares comerciais de servidores web. Através do envio de pacotes de dados desenhados para explorar essas falhas, um atacante pode ganhar controle remoto de um computador ou força-lo a executar algo auto destrutivo, como travar após um certo número de teclas digitadas.

Para se defender destes ataques, hoje em dia as redes de computadores utilizam softwares que analizam o tráfego em busca de sinais de atividade maliciosa. Por exemplo, o envio de pacotes de dados em uma porta incomum de entrada pode ser um sinal de que um hacker está tentando fazer flood em uma seção de memória com arquivos de tamanho grande para sobrescrever a memória e corromper dados.

Mas o ataque pode ser modificado de alguma maneira para confundir estas defesas, talvez através da combinação de várias rotinas de ataque diferentes. O que é necessário neste caso é um sistema detector de invasões que possa prever futuras estratégias de hackers. E é isto que a Icosystem diz ter desenvolvido.

O sistema de previsão de ataques deles pega softwares de ataque conhecidos e os transforma sistemáticamente para achar as mutações mais perigosas. As mutações são mantidas simplificadas de maneira que o código malicioso ainda seja executado - não há sentido em utilizar mutações que tornam o software sem função.

Arquivo renomeado

As mutações podem envolver renomear um arquivo ou diretório criado por um código de um programa de invasão. Uma pequena mudança como esta pode ser suficiente para enganar sistemas de detecção de invasão atuais. O software da Icosystems poderia também combinar porções de diferentes ataques hackers para chegar a ataques cada vez mais complexos.

Ele tenta várias mutações e recombinações diferentes, mas todas são gramaticalmente e sintáticamente corretas, diz Erica Bonabeau, CIO da Icosystem. A idéia é continuar envolvendo scripts e novas formas de ataque que sem dúvida vão surgir.

Chris Wysopal, consultor da empresa de segurança @Stake, de Boston, diz que isto pode levar a uma nova e mais inteligente geração de sistemas de detecção de invasões.

Mas ele preve problemas significantes na performance se as redes tiverem que rotineiramente procurar por milhares de scripts modificados. Esta grande quantidade de características iriam provavelmente diminuir consideravelmente a velocidade de sistemas de detecção de invasão, ele alerta.

Fonte: Zone-H
Traduzido para a Total Security por Cristian T. Moecke




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/409/visualizar/