211service.com
Conteniendo gusanos de Internet
La propagación de gusanos de Internet podría detenerse desde el principio mediante el uso de un nuevo método para vigilar las computadoras en busca del comportamiento exhibido por los hosts infectados, según una investigación publicada recientemente en Transacciones IEEE sobre computación confiable y segura . Aunque existen otros métodos para protegerse contra los gusanos, la nueva estrategia está diseñada para minimizar la interferencia con los patrones de trabajo normales de los usuarios, dice Ness Shroff , profesor del departamento de ingeniería eléctrica de la Universidad Estatal de Ohio, que participó en la investigación. Los investigadores imaginan que la técnica se utilizará en redes corporativas, donde podría identificar computadoras que deben ser puestas en cuarentena y verificadas para detectar infecciones.
Los gusanos de Internet se pueden utilizar para lanzar ataques de denegación de servicio, que inundan un sitio web para que los usuarios legítimos no puedan acceder a él, o instalan puertas traseras que se pueden utilizar para crear redes de bots. Un gran número de equipos infectados podría ralentizar significativamente el tráfico de Internet, incluso si los gusanos no hacen más que propagarse.
El método de la Universidad de Purdue y del estado de Ohio para prevenir la propagación de gusanos funciona principalmente para una clase de gusanos que escanea Internet de forma aleatoria en busca de máquinas host vulnerables para infectar. Uno de esos gusanos fue Code Red, que infectó a más de 359.000 computadoras en menos de 14 horas en 2001 y, en última instancia, causó daños estimados en 2.600 millones de dólares. Aunque este tipo de gusano existe desde hace algún tiempo, Kurt Rohloff , científico del grupo de tecnología de sistemas distribuidos en Tecnologías BBN , dice que todavía es peligroso. Se trata de una clase de gusanos muy simple que es muy fácil de desarrollar y programar, pero al mismo tiempo, no son tan fáciles de contener, dice. Si pudiéramos entender estos gusanos bastante simples pero aún problemáticos, con suerte podríamos abordar los llamados gusanos tortuosos.
Los investigadores basan su estrategia en un nuevo modelo que diseñaron sobre cómo se propagan los gusanos. Muchos modelos existentes se basan en una analogía con la propagación de epidemias, dice Shroff, pero son más precisos en las etapas posteriores de una infección. El modelo de los investigadores fue especialmente diseñado para ser preciso en las primeras etapas de la infección, y reveló que la clave para saber si un gusano puede propagarse con éxito es el número total de veces que un host infectado escanea Internet en un intento de encontrar nuevos hosts. infectar.
Mientras que otros métodos de contener gusanos se han centrado en monitorear las computadoras en busca de cambios en la velocidad a la que escanean Internet de un momento a otro, Shroff dice que esto puede interferir con las actividades diarias de los usuarios. Las tasas de escaneo fluctúan mucho, por lo que si se conecta, puede escanear muchas veces durante un período de tiempo muy corto y luego no escanear en absoluto, dice. Sentimos que la velocidad de escaneo era demasiado restrictiva y podría interferir con el funcionamiento normal de la red. Al monitorear el volumen de escaneos durante un período de tiempo más largo, dice, es posible contener gusanos mientras se mantiene el umbral demasiado alto para que los usuarios comunes activen las alarmas. El software podría monitorear la cantidad de escaneos que envía cada computadora en una red y poner en cuarentena cualquier computadora que exceda esa cantidad. Shroff espera que cambiar los criterios para sospechar una infección de esta manera reducirá la probabilidad de que los escaneos legítimos de Internet se marquen como actividad de gusanos.
En cierto sentido, lo que estamos haciendo es aprovechar el hecho de que este gusano está intentando muchas cosas y fallando muchas veces, y cada vez que falla, está dando algo de información, dice Shroff. Aunque el sistema está diseñado para lidiar con gusanos de escaneo que buscan hosts vulnerables al azar, los investigadores también lo han adaptado para gusanos que tienen como objetivo sus ataques en redes locales específicas.
Shroff cree que el sistema podría implementarse mejor en redes corporativas, particularmente en situaciones en las que hay computadoras adicionales disponibles que podrían cubrir una carga de trabajo mientras se examinan las computadoras posiblemente infectadas. Puede que no funcione tan bien para pequeñas empresas o en redes domésticas, porque desconectar una computadora podría ser una interrupción demasiado grande para los usuarios, dice.
Rohloff dice que podría imaginar que un sistema de este tipo fuera efectivo, pero advierte: El sesgo, por supuesto, sería que protegería las redes locales de infecciones que ya están presentes en la red. No serviría tanto para proteger las redes de infecciones que provienen del exterior. Agrega que, si bien el modelo de los investigadores y las simulaciones iniciales se ven bien, él tendría curiosidad por ver un análisis más completo de la frecuencia con la que el sistema sospecha que una computadora está infectada con un gusano cuando en realidad no hay ningún gusano presente.
Los investigadores de Purdue y Ohio State sugieren que el trabajo futuro podría buscar formas de adaptar sus herramientas para gusanos cada vez más específicos. Shroff dice que si bien él y sus colegas ahora se están concentrando en detener gusanos en el nivel de las computadoras host, otra posible dirección podría ser crear un software que permita a los enrutadores detectar patrones de tráfico sospechosos. Si bien un enfoque de este tipo podría permitir la supervisión de una cantidad relativamente grande de computadoras desde un solo punto, también requeriría cambios significativos en el funcionamiento de los enrutadores. Si bien actualmente solo realizan un seguimiento del destino del tráfico de Internet, también deberían comenzar a realizar un seguimiento de su origen.