El Superworms Que viene
Los gusanos malévolos se están desarrollando rápidamente, aumentando sus capacidades de separar y de estropear. Hemos visto recientemente innovaciones importantes en tecnología del gusano, con gusanos más nuevos separándose más malévolo y eficientemente que siempre, con las cabezas nucleares optimizadas, apuntando algoritmos de la selección, y mecanismos de la propagación. Sobre el último varios años, alguien han destraillado un gusano nuevo cada dos a seis meses con una torcedura evolutiva adicional para confundir nuestras defensas. En la tarifa vamos, pronto haremos frente a los superworms supuestos que podrían potencialmente inhabilitar el estrago serio del Internet o de otra manera del wreak. Aunque más allá de gusanos he sido malo, creo fuertemente que haremos frente a un futuro que sea lejos más wormier. Analicemos algunas tendencias recientes en gusanos de ver donde se dirigen estas bestias. De acuerdo con los papeles blancos, las presentaciones en las conferencias del hacker, e informales públicos uno-en-uno discusiones que he tenido con los reveladores del gusano, nosotros necesitan conseguir listos para los gusanos con una variedad de características destructivas, incluyendo el multiplatform, multiexploit, cero-di'a, el ra'pido-separarse, polimórfico, metamórfico, los gusanos verdaderamente repugnantes. Aunque estos términos pudieron ahora sonar como mumbo-enorme técnico usted, analizaremos cada uno de estas características más detalladamente para conseguir una sensación para contra lo que puede ser que pronto estemos para arriba. También, no anormal hacia fuera y la preocupación que inclinaremos de los malos individuos en cómo mejorar sus gusanos. Desafortunadamente, muchos reveladores del gusano saben ya sobre todas las técnicas que discutiremos. Los varios componentes del código están libremente disponibles para la transferencia directa, incluyendo algunos snippets interesantes del código lanzados por Michal Zalewski en 2003. Los malos individuos están consiguiendo listos destraillar estas cosas; necesitamos entenderlos así que podemos ser preparados. Gusanos De MultiplatformLa mayoría de los gusanos atacan generalmente solamente un tipo de sistema operativo por gusano, requiriendo a administradores desplegar remiendos a un solo tipo de sistema para poner defensas en ejecucio'n apropiadas. En el futuro cercano, los superworms explotarán tipos múltiples del sistema operativo, incluyendo Windows, Linux, Solaris, el DEB, y otros, envueltos todo para arriba en una sola cabeza nuclear. Cuanto el más viejo, gusanos de la solo-plataforma requirió la aplicación de un remiendo a un solo tipo de sistema operativo, algo que los administradores hacen sobre una base regular de todos modos. El defender contra gusanos siniestros del multiplatform requerirá mucho más trabajo y coordinación, pues tendremos que aplicar remiendos a través de nuestros ambientes a todas las clases de sistemas operativos. Piense de él: En vez apenas de remendar todas las instalaciones de un tipo de sistema operativo en su ambiente, usted necesitará remendar todos sus sistemas, sin importar el tipo del sistema operativo. Con la necesidad de la coordinación agregada entre varios tipos del sistema, nuestra respuesta será retrasada grandemente, permitiendo que el gusano cause lejos más daño. Aunque no son de corriente (todavía), hemos visto ya un número pequeño de los gusanos del multiplatform lanzados contra el Internet. En mayo de 2001, el gusano de Sadmind/IIS proliferó rápidamente a través del Internet, apuntando el sol Solaris y Microsoft Windows. Pues su nombre implica, este gusano explotó el servicio del sadmind usado para coordinar la administración alejada de las máquinas de Solaris. De estas máquinas de la víctima, el gusano se separó al servidor del Web de IIS de Microsoft, donde se separó más lejos a otras máquinas de Solaris, continuando el ciclo. Gusanos De MultiexploitMuchos de los gusanos que hemos visto en el pasado eran uno-golpearon las maravillas, explotando solamente una sola vulnerabilidad en un sistema y después separándose a las nuevas víctimas. Algunos gusanos más nuevos penetran sistemas de las maneras múltiples, usando agujerean en una gran cantidad de usos red-basados rodados todo en un gusano. Un solo gusano pudo poder explotar 5, 20, o aún más vulnerabilidades, envueltas todo en una cabeza nuclear cobarde. Con más vulnerabilidades a explotar, estos gusanos se separarán más con éxito y rápidamente. Incluso si un sistema se ha remendado contra algunos de los agujeros individuales, un gusano del multiexploit todavía podrá tomarlo encima explotando otra vulnerabilidad. Hasta la fecha, el gusano más acertado del multiexploit que hemos visto era Nimda, que, dependiendo de cómo usted cuenta, podría separarse a los sistemas de diversas maneras una docena. Gusanos De la Hazaña Del Cero-Di'aOtro aspecto de los superworms que vienen se ocupa de la frescura de las vulnerabilidades que explotan. Los gusanos que hemos visto en el salvaje han utilizado hasta ahora sobre todo vulnerabilidades ya-sabidas para atacar sistemas. Los gusanos como el rojo y Nimda todo del código se separaron con desbordamiento del almacenador intermediario y otras hazañas que fueron descubiertas los meses antes de que el gusano fuera lanzado. Mientras que estos gusanos ravaging sistemas en el Internet, sabíamos ya sobre las vulnerabilidades que explotaron, y los vendedores habían lanzado ya meses de los remiendos por adelantado. Por supuesto, porque demasiado pocos personas aplican remiendos sobre una base oportuna, los gusanos todavía hicieron su daño. Sin embargo, usando más viejas hazañas disponibles, estos gusanos eran analizados y domesticados rápidamente por los equipos diligentes de la seguridad. Los remiendos estaban fácilmente disponibles para la transferencia directa a través del Internet para parar estos gusanos. No seremos tan afortunados en el futuro. Gusanos más nuevos se romperán probablemente en sistemas usando las hazañas supuestas del "cero-di'a", nombradas porque son brandnew, disponible para el público por los días exacto cero. Con un gusano separándose con una hazaña del cero-di'a, no hay remiendos todavía disponibles. La comunidad de la seguridad de la información requerirá más hora de entender cómo el gusano se separa. La primera vez que veremos que será el código de la hazaña usado en estos gusanos cuando comprometen centenares de millares o aún de millones de sistemas, no un pensamiento cheery. Gusanos Ra'pido-Que se separanLos gusanos, por su misma naturaleza, procuran separarse rápidamente. Un caso de un gusano se utiliza para explorar para las nuevas víctimas, para quienes, cuando está conquistado, exploración con todo más blancos. Los gusanos por lo tanto se separan a menudo sobre una base exponencial, con el número de los sistemas comprometidos en un cierto plazo que se asemeja a una forma del palillo del hockey. Sin embargo, muchos gusanos que hemos luchado hasta la fecha son bastante ineficaces durante su extensión inicial. Durante el lanzamiento inicial de un gusano, la extensión comienza hacia fuera lentamente. El gusano gana gradualmente velocidad mientras que levanta la curva exponencial. Podría tomar muchas horas o aún días para que el gusano alcance la "rodilla" en la curva antes de que los números serios de las máquinas de la víctima se conquisten. En agosto de 2001, dos papeles aparecían que describían nuevas técnicas para maximizar la velocidad a la cual extensión de los gusanos. Cada papel presentó un modelo matemático para el desarrollo de las técnicas hyperefficient de la distribución del gusano. Feliz, no se incluyó ningún código con los papeles, aunque escribió el software basado en estas ideas es directo para uniforme un revelador moderado experto del software. El primer papel, por Nicholas C. Weaver, postuló un gusano de Warhol, que podría conquistar el 99% de sistemas vulnerables en el Internet en el plazo de 15 minutos. Este marco de tiempo dio lugar al nombre del gusano, basado en artista del estallido que 15 minutos de Andy Warhol de fama quip. En 1968, Andy Warhol famoso dicho, "en el futuro, cada uno será famoso por 15 minutos." Irónico, en tiempo, Warhol creció cansado de su refrán más famoso, consiguiendo molestado cada vez más con su uso repetido por los medios, reflejando en propia capacidad de los medios de hacer a gente rápidamente pero temporalmente famosa. No ser aventajado, el segundo papel seguido de cerca en los talones del primeros y no ser presentado una mejora leve de la técnica básica del gusano de Warhol. Este segundo papel, por Staniford, severo, y Jonkman, postuló un gusano de destello supuesto que podría alcanzar la dominación del Internet en menos 30 segundos. Aunque la matemáticas pudo demostrar esto para ser teóricamente verdad, creo que las interferencias en el Internet rendirán una disparidad entre la teoría y la realidad. Mi apuesta es ésa que usa técnicas de Warhol/Flash, un gusano podría someter el Internet sobre alrededor de una hora, elasticidad o tomar 15 minutos. Esto es apenas un marco de tiempo que coloca. Para utilizar la técnica de Warhol/Flash, pre-exploraciones de un atacante el Internet de un sistema fijo que busca las máquinas que son vulnerables al código de la hazaña que será cargado más adelante en la cabeza nuclear del gusano. El atacante localiza millares o diez de millares de sistemas vulnerables, sin explotarlos o tomarlos encima. Usando una lista de las direcciones de estas máquinas vulnerables dispersadas a través del mundo, el atacante preprograma el gusano con su primer sistema de víctimas. El gusano entonces está destraillado en esos sistemas vulnerables sabidos con la alta anchura de banda más cercana a la espina dorsal de Internet. Más bien que aleatoriamente seleccionando direcciones para explorar, los jóvenes, gusano nuevamente introducido pueden poblar inmediatamente los sistemas prescanned ya para la vulnerabilidad. El gusano infecta este primer sistema de víctimas, después divide la lista restante de millares de prescanned, las blancos vulnerables. Los varios segmentos del gusano original que cada uno entonces ataca su parte del restante prescanned blancos. Durante la extensión inicial, no se pierde ninguna hora en seleccionar o la exploración de nuevas blancos. La fase prescanning del atacante ha identificado ya estas blancos, así que el gusano puede conquistar y propagar simplemente a ellas. Después de que todos prescanned las blancos se comprometen, el comienzo del gusano para explorar y para separarse a la población en general. Inicialmente comprometiendo millares de jugoso, prescanned blancos, el gusano de Warhol/Flash esencialmente salta encima del palillo del hockey del crecimiento exponencial, para solamente requerir un rato relativamente corto antes de que se alcance la dominación total. Gusanos PolimórficosLos escritores del gusano no desean sus creaciones malévolas para ser detectados, para ser analizados, y para ser filtrados mientras que se separan. En la mayoría de las redes, los sistemas de la detección de la intrusión (IDSs) pueden identificar gusanos y otros ataques y alertar a los buenos individuos, funcionando como alarmar de ladrón de la computadora. Hoy, la mayoría de las herramientas red-basadas de las identificaciones tienen una base de datos de las firmas sabidas del ataque. Las identificaciones sondan tráfico de la red de los frunces y lo comparan contra las firmas sabidas del ataque para determinarse si el tráfico es malévolo. Las herramientas de hoy de las identificaciones identifican muy fácilmente los gusanos tradicionales, que utilizan código común de la hazaña con las firmas fácilmente disponibles. Además, los buenos individuos gusano-que luchan pueden capturar gusanos durante su extensión, y a reverso-ingeniero el software malévolo para crear defensas mejores incluyendo los filtros. Para evadir la detección, el análisis de la reverso-ingenieri'a de la hoja, y para conseguir más allá de los filtros, los reveladores del gusano están utilizando cada vez más técnicas polimórficas de la codificación en gusanos. Los programas polimórficos cambian dinámicamente su aspecto cada vez que funcionan revolviendo su código del software. Aunque el nuevo software sí mismo se compone de instrucciones enteramente diversas, el código todavía tiene el exacto la misma función. Con polimorfismo, solamente se altera el aspecto, no la función del código. Del gusano de la carga útil de la voluntad el morph automáticamente el gusano entero en diversas versiones del mutante de modo que él ningunas firmas más largas de la detección de los fósforos, pero él todavía haga el exacto la misma cosa. Cuando los gusanos van polimórficos, cada segmento del gusano tendrá nuevo código generado en marcha. Cada segmento individual del gusano tendrá un diverso aspecto en cada víctima, haciéndolo mucho más duro detectar y analizar. Millones de segmentos únicos del gusano serán dispersados alrededor de la red, toda con la misma funcionalidad. Hemos visto algunos pasos del bebé hacia gusanos polimórficos verdaderos en el salvaje. En enero de 2002, la extensión del gusano de Klez vía el E-mail de Microsoft Outlook y las técnicas polimórficas simples empleadas, cambiando la línea del tema del E-mail, para evadir el Spam del E-mail se filtra. El vector de la distribución del E-mail de Nimda también alteró su línea sujeta. Los filtros de Antispam buscan un manojo de mensajes con el mismo tema enviado a diversos usuarios, una muestra razonable bonita del Spam del E-mail. Verdades, solamente un pedazo pequeño de Klez y Nimda (la línea sujeta e incluso el tipo del archivo del accesorio) era polimórficos, pero era un comienzo abajo de este camino. Además, un revelador del software nombrado K2 ha lanzado un motor polimórfico de la mutación nombrado ADMutate. Esta herramienta de gran alcance se utiliza a las hazañas del desbordamiento del almacenador intermediario del morph, y se podría incorporar en un gusano como su motor morphing al mutate todo del código en el gusano. También, otra herramienta llamó código polimórfico altamente flexible de los instrumentos de Hydan. Klez y Nimda demostraron la energía de un pedacito minúsculo del polimorfismo en un gusano, pero varios atacantes están discutiendo la adopción de los motores polimórficos incluidos en ADMutate y Hydan para crear un gusano completamente polimórfico. Gusanos MetamórficosAdemás de cambiar su aspecto usando polimorfismo, los gusanos nuevos también cambiarán su comportamiento dinámicamente, experimentando metamorfosis. Usando esta técnica, las capacidades adicionales del ataque se encubren dentro del gusano. Las técnicas polimórficas cambian el código del gusano mientras que guardan la funcionalidad iguales; el código metamórfico cambia realmente la funcionalidad del gusano. Los gusanos metamórficos son como las pequeñas orugas verdes que se separan hambriento a través del Internet. Mirar la oruga sí mismo no revela ninguna indicación de la mariposa ocultada adentro. Semejantemente, los gusanos metamórficos se separarán rápidamente mientras que ocultan su carga útil usando técnicas de la ofuscación y del cifrado. Solamente después que el gusano se ha separado completamente a los números enormes de víctimas quiéralo revelan su propósito ocultado. En toda la probabilidad, no será una mariposa que sale. El gusano enmascarará otra herramienta del ataque, tal como un backdoor, un RootKit, o un maderero del golpe de teclado. Los gusanos metamórficos ayudan a un atacante porque son un reverso-ingeniero más duro y por lo tanto lo defienden contra. Siempre que un gusano se lance en el Internet, las cuentas de los cazadores die-hard del gusano recolectan los casos del gusano para analizarlo y para contrariar su extensión. Muchas de esta gente trabajan para las compañías del software del antivirus que lanzan los filtros y los arreglos para el gusano, y otros son investigadores independientes justos de la seguridad. Usando las técnicas metamórficas, combinadas con polimorfismo, estos gusanos son mucho más duros de defender contra. Gusanos Verdaderamente RepugnantesSi usted hecha una ojeada honesto los gusanos que hemos hecho frente en el pasado, realmente han sido bastante benigna comparada a un qué atacante podría hacer con la energía inherente de las técnicas del gusano. La mayoría de ataques del gusano se ha centrado hasta ahora en propagar tan extensamente y rápidamente como sea posible, no en realmente destruir sistemas conquistados. En hecho, hemos visto un manojo de gusanos con las cargas útiles nulas. No me consiga el mal, aunque. Incluso los gusanos de crianza relativamente benignos que hemos visto para haber causado daño significativo simplemente consumiendo recursos. Un gusano de crianza simple puede aspirar fácilmente encima de toda la su energía de la anchura de banda, el computar, e incluso atención de su equipo del ataque de la computadora. Sin embargo, las cosas podían ser lejos peores. Con los superworms del futuro cercano, puede ser que hagamos frente a los gusanos que separaron una herramienta altamente malévola dentro del gusano sí mismo del ataque. Algunos gusanos separarán a agentes del negacio'n-de-servicio que lanzan una inundación del Internet contra una víctima. El rojo del código hizo apenas eso, y las tendencias indican que la técnica llegará a ser mucho más popular. Otros gusanos destruirán archivos y suprimirán datos sensibles. Algunos podían actuar pues las bombas de la lógica que hacían sistemas estrellarse después de cierto marco de tiempo o en el comando del atacante, inhabilitando una gran cantidad de máquinas. Los gusanos podían también robar los datos, peinándose a través de los sistemas que buscaban "secreto marcado los archivos" o el "propietario" al E-mail de nuevo al atacante. Consiga listo para los gusanos con intenciones lejos más repugnantes. esto es un artículo agregado por Sean Kazen
|
|||||
|