برای مقابله با آنفلوانزای اینترنتی آماده شوید
پژوهشگران با الهام از روشهای مقابله با همهگیری آنفلوانزای نوع آ، روش جدیدی برای حفاظت از اینترنت در برابر حملات گسترده کرمهای اینترنتی یافتهاند.
محبوبه عمیدی: ساعت 5:30 روز ششم بهمنماه 1381 به وقت جهانی، کرم اینترنتی Slammer فعالیت خود را آغاز و تنها ظرف مدت چند دقیقه حدود 90 درصد از کامپیوترهای آسیبپذیر را آلوده کرد. ارتباطات اصلی شبکه قطع شد، دستگاههای خودپرداز از کار افتادند و خطوط هوائی ناچار به لغو پروازهایشان شدند. این چنین بود که یکی از مخربترین حملات اینترنتی جهان اتفاق افتاد.
آنچه در مورد اسلمر بسیارشگفتانگیز شد، سرعت سرسامآور تکثیر و انتقال این کرم اینترنتی بود، به نحوی که هیچ شانسی برای مداخله و جلوگیری از آن باقی نماند. اما اکنون که ششسال از این اتفاق گذشته، میتوان گفت که جهان از شرایط بهتری برای دفاع در برابر بدافزارها برخوردار است.
به گزارش نیوساینتیست، اسکات کول از دانشگاه کارولینای شمالی و بولسلاو زیمانسکی از مؤسسه پلیتکینیک رنسلر در تروی، نیویورک؛ میخواهند شرایط دفاعی به مراتب بهتری را فراهم کنند. آنها سیستمی را اختراع کردهاند که میتواند از اینترنت در برابر کرمها و بدافزارهای بسیارخطرناک مراقبت کند. این سیستم بر ایجاد مکانیسمهای دفاعی در قسمتهای کلیدی اینترنت استوار است و از لحاظ عملکرد بیشتر به سیستم ایمنی در بدن موجودات زنده میماند.
همهگیری آنفلوانزای نوع آ
برای درک بهتر محدودیتها در روشهای فعلی، تصور کنید یک ویروس زیستی شیوع پیدا کرده و برای مقابله با همهگیری آن، فرودگاههای بزرگ جهان تصمیم میگیرند اجازه ندهند هواپیماهایی که از مناطق آلوده به مقصد آنها پرواز کردهاند، مسافران را پیاده کنند؛ اما در عوض اجازه پرواز مجدد آنها را به نقاط مختلف جهان خواهند داد.
کول میگوید: «شاید با این روش فرودگاهها بتوانند ساکنان بومی را از خطر ابتلا به بیماری نجات دهند، اما در مورد سایر نقاط جهان چطور؟ مکانهای دیگری که این هواپیما فرود خواهد آمد؟ به نظر میرسد قرنطینه هواپیماهای برخاسته از مناطق آلوده و جلوگیری از پرواز آنها به اقصی نقاط جهان استراتژی به مراتب مؤثرتری باشد».
کول و زیمانسکی، روشی مانند قرنطینه هواپیماها را برای جلوگیری از انتشار کرمها در سطح اینترنت پیشنهاد کردهاند. کرمهای اینترنتی برنامههای نرمافزاری کوچکی هستند که قابلیت خودتکثیری دارند. این برنامهها اگر یک کامپیوتر را آلوده کنند، از طریق آن شروع به اسکن اتفاقی دیگر کامپیوترهایی میکنند که با دستگاه اول از طریق اینترنت در ارتباطند و با یافتن کامپیوترهایی که حفره امنیتی دارند، خودشان را درون دستگاههای جدید کپی میکنند و با تکرار این روش به تکثیر ادامه میدهند. میزان آسیبی که یک کرم میتواند به شبکه و کامپیوترها بزند، به دوچیز بستگی دارد، یکی اینکه این کرم با چه تعداد دستگاه آسیبپذیر مواجه خواهد بود و دوم اینکه با چه سرعتی میتواند آنها را اسکن کند.
اسلمر سرعت سرسامآوری در اسکن کردن میزبانهای آسیبپذیر دارد، بهطوریکه این کرم اینترنتی توانست تنها در چند دقیقه 75 هزار کامپیوتر را آلوده کند. کرم دیگری به نام Code Red نیز توانست در 27 خرداد 1380، حدود 360 هزار کامپیوتر را آلوده کند. با وجود اینکه کد-رد، سرعت تکثیر بسیارکندتری نسبت به اسلمر داشت، اما میلیاردها دلار خسارت به جا گذاشت.
شبیهسازی کرمهای جدید
برای تعیین نحوه مقابله با چنین تهدیدهایی و بالابردن اثر آن، کول و زیمانسکی، کرم اینترنتی فرضی را در نظر گرفتند که بتواند در هر ثانیه به 4300 میزبان دسترسی پیدا کند. این تعداد میزبان برابر سرعت اسلمر در اسکن کامپیوترهاست و از سوی دیگر، فرض کردند تنها یکدرصد کامپیوترهای متصل به شبکه حفره امنیتی داشته باشند. شبیهسازی نشان داد ترکیب
سرعت پویش و قدرت تخریب این کرم میتواند به مراتب خطرناکتر از اسلمر باشد و به آثار مخربتری در کامپیوترهای آلوده منجر شود.
کول و زیمانسکی میگویند راه مقابله با این دسته از کرمهای اینترنتی، ایجاد هستههای اینترنتی از کامپیوترها و همکاری این هستهها با هم است. هر هسته اینترنتی مرکب از دههاهزار «سیستم مستقل» است که هر یک توسط یک (ISP) یا سرویسدهنده خدمات اینترنتی اداره میشوند.
این دو محقق در شبیهسازییی که انجام دادند، هر «سیستم مستقل» را به توان شناسایی کامپیوترهای آلوده که معمولا خودشان را با فرستادن تعداد زیاد و تصادفی درخواستهای اتصال با سایر کامپیوترهای شبکه لو میدهند، مجهز کردند. در نتیجه اغلب این درخواستها بیجواب ماندند. از سوی دیگر هر «سیستم مستقل» که تهدیدی را در شبکهاش شناسایی کند، علاوه بر اینکه دریافت پیام و انتقال آن را به کامپیوتر آلوده متوقف خواهد کرد، به تمامی سیستمهای همتایش هم هویت منبع تهدید را اطلاع خواهد داد. برای کاهش خطر هشدارهای نادرست، حد آستانهای برای تعداد گزارشات حمله تعیین شده که در صورت رسیدن تعداد به این حد نصاب سیستمهای مستقل همتا وارد عمل خواهند شد.
در هر حال، زمانی که یک تهدید واقعی شناسایی شود، سیستمهای مستقل میتوانند کامپیوتر یا کامپیوترهای آلوده را در قرنطینه نگهدارند و از تکثیر کرم اینترنتی جلوگیری کنند. در نهایت، کامپیوترهای آلوده را میتوان پاک کرد. مطابق شبیهسازی انجام شده، چیزی حدود 30 تا 35 درصد کل سیستمهای مستقل موجود در اینترنت برای اجرای این استراتژی باید به خدمت گرفته شوند.
کول میگوید: «برای ایجاد این سپر دفاعی، باید شرکتهای فراهمکننده خدمات اینترنتی بتوانند به یکدیگر اعتماد کنند و به همکاری با یکدیگر بپردازند. باید تغییراتی در زیرساختها صورت گیرد تا در صورت نیاز، امکان قطع ترافیک یک آی.اس.پی وجود داشته باشد؛ البته این در حال حاضر خلاف موافقتنامه میان شرکتهای مختلف فراهمکننده خدمات اینترنتی است. اما در نهایت دفاع در مقابل بدافزارها نمیتواند شرکت ها را از لحاظ مالی در طولانیمدت متضرر کند.
آدریین بالدوین، از متخصصان امنیت آزمایشگاههای شرکت هولت-پاکارد در بریستول انگلستان میگوید: «احتمالا سرویسدهندگان خدمات اینترنتی تمایل چندانی نسبت به استفاده از دستگاههایی که میتواند کسب و کار آنها را به خطر بیندازد، نخواهند داشت. استفاده از این سیستم میتواند آنها را میان دوراهی سخت، دفاع از اینترنت یا حفظ مشتریانشان قرار دهد. به عنوان متخصصان امنیت، شما باید به این فکر کنید که در مقابل ضرر این شرکتها، چه سودی باید نصیب آنها بشود؟».
شاید این سرویسدهندگان ترجیح میدهند بودجهشان را به شکل دیگری صرف کنند، مثلا خرید بستههای نرمافزاری که بتوانند حفرههای امنیتی را شناسایی و مسدود کنند، یا راه حلهای امنیتی دیگری که سرقتهای اینترنتی از کاربران ناآگاه را کاهش دهد. با این حال کرمها همیشه یک تهدید باقیمیمانند، مخصوصا اگر حملات سایبری علیه سایتهای دولتی افزایش پیدا کند. این زمان است که دیگر نادیدهگرفتن کرمهای اینترنتی غیرممکن میشود.
کول میگوید: «حدود 60 درصد از بار ترافیکی ارسال نامههای الکترونیک به دلیل وجود هرزنامههاست. یک سیستم اخطار و غربالگری مشابه میتواند اغلب هرزنامهها را به دام انداخته و این نقل و انتقال را متوقف کند».
ثبت شده توسط: roze_lotfi
