Sposób na robaka
Naukowcy z Ohio State University opracowali metodę powstrzymywania robaków komputerowych przed infekowaniem kolejnych maszyn. Robaki, które samodzielnie wyszukują i zarażają kolejne komputery, stanowią poważny problem. Przyczyniają się do wyłączeń komputerów i przestojów całych sieci.
Kluczowym czynnikiem jest monitorowanie aktywności poszczególnych komputerów w Internecie. Gdy któryś z nich zaczyna nagle skanować wiele innych maszyn, jest to najczęściej wynik działalności robaka, który szuka kolejnych ofiar. Oczywiście każdy użytkownik wielokrotnie w ciągu dnia poleca swojemu komputerowi by wykonał skan, czyli, innymi słowy, odnalazł potrzebny mu adres IP.
Robaki także sprawdzają adresy IP, ale czynią to ze znacznie większą częstotliwością i na znacznie większej grupie przypadkowych adresów. Głównym problemem było więc odróżnienie tych dwóch sytuacji: skanowania dokonywanego przez komputer na polecenie użytkownika oraz poszukiwania kolejnych ofiar przez zainfekowaną maszynę.
W 2006 roku, gdy Shroff pracował na Purdue University, doktorantka Sarah Sellka zasugerowała mu stworzenie matematycznego modelu rozprzestrzeniania się robaków komputerowych we wczesnych stadiach infekcji. Po stworzeniu modelu i przeprowadzeniu symulacji naukowcy stwierdzili, że właściwą liczbą skanów, po której należy zablokować komputer jest 10 000. To znacznie więcej połączeń z adresami IP, niż przeciętna maszyna wykonuje w ciągu miesiąca. Z drugiej strony zainfekowany komputer bardzo szybko wykona więcej niż 10 000 skanów. Robak musi rozprzestrzeniać się tak szybko, gdyż inaczej nie przetrwa - wyjaśnia Shroff.
Stworzone przez naukowców oprogramowanie zatrzymało testową infekcję robakiem Code Red. Podczas eksperymentów w 95 proc. przypadków szkodliwy program nie był w stanie zarazić więcej, niż 150 komputerów. Akademicy użyli też Code Red II, robaka, który znacznie szybciej i efektywniej zaraża komputery. W 77 proc. przypadków robakowi nie udało się wydostać poza sieć lokalną, w której rozpoczęła się infekcja. W 10-20 procentach przypadków przedostał się do jeszcze jednej sieci, ale nie był w stanie się z niej wydostać, a w 3 do 13 proc. - zainfekował więcej niż jedną sieć, ale jego postępy zostały znacznie spowolnione. W każdym momencie obserwowano olbrzymi spadek aktywności robaka już w ciągu pierwszej godziny.
Oprogramowanie powstrzymujące robaka powinno być zainstalowane w sieci, która ma być chroniona. Jej administratorzy muszą wziąć pod uwagę też fakt, że w przypadku infekcji, automatycznie odłączy ono zarażone komputery od Internetu. Oczywiście po usunięciu szkodliwego kodu możliwe będzie ponowne włączenie maszyny do sieci.
Zdaniem Shroffa, dla większych firm nie będzie stanowiło to problemu. Może jednak przeszkadzać w pracy niewielkim przedsiębiorstwom.
Mariusz Błoński