Microsoft komanda izseko ļaunprātīgus lietotājus

Anonimitāte internetā var būt gan svētība, gan lāsts. Lai gan iespēja slēpties aiz anonīmiem starpniekserveriem un strauji mainīgām interneta protokola (IP) adresēm ir nodrošinājusi brīvāku runu valstīs ar represīviem režīmiem, tās pašas tehnoloģijas ļauj kibernoziedzniekiem slēpt savas pēdas un nodot ļaunprātīgu kodu un surogātpastu likumīgai saziņai.





Rakstā, kas tiks prezentēts nākamnedēļ plkst SIGCOMM 2009 Barselonā, Spānijā, trīs pētnieki no Microsoft pētniecības centra Mountain View, Kalifornijā, demonstrē veidu, kā noņemt anonimitātes vairogu no šādiem ēnas uzbrucējiem. Izmantojot jaunu programmatūras rīku, trīs datorzinātnieki spēja identificēt mašīnas, kas ir atbildīgas par ļaunprātīgu darbību, pat ja resursdatora IP adrese bieži mainījās.

Tas, ko mēs patiešām cenšamies panākt, ir saimnieks, kas ir atbildīgs par uzbrukumu, sacīja Yinglian Xie , Microsoft komandas dalībnieks. Mēs necenšamies izsekot šos identifikatorus, bet saistīt tos ar konkrētu saimniekdatoru.

Prototipa sistēma, kas nodēvēta par HostTracker, varētu nodrošināt labāku aizsardzību pret tiešsaistes uzbrukumiem un surogātpasta kampaņām. Drošības firmas, piemēram, varētu izveidot labāku priekšstatu par to, kuri interneta resursdatori būtu jābloķē no datplūsmas sūtīšanas saviem klientiem, un kibernoziedzniekiem būtu grūtāk maskēt savas darbības kā likumīgu trafiku.



Xie un viņas kolēģi Fang Yu un Martin Abadi analizēja mēneša datus — 330 gigabaitus, kas savākti no liela e-pasta pakalpojumu sniedzēja, lai noteiktu, kuri lietotāji ir atbildīgi par surogātpasta izsūtīšanu. Lai izsekotu vairāku surogātpasta uzliesmojumu izcelsmi, zinātnieki pētīja ierakstus, tostarp vairāk nekā 550 miljonus lietotāju ID, 220 miljonus IP adrešu un laika zīmogu tādiem notikumiem kā ziņojuma nosūtīšana vai pieteikšanās kontā.

Ziņojumu izcelsmes izsekošana — galvenais uzdevums surogātpasta un cita veida interneta uzbrukumu izsekošanai — ietvēra attiecību atjaunošanu starp kontu ID un resursdatoriem, no kuriem lietotāji pievienojās e-pasta pakalpojumam. Lai to izdarītu, pētnieki apvienoja visus ID, kuriem noteiktā laika periodā tika piekļūts no dažādiem saimniekiem. Pēc tam HostTracker programmatūra ķemmēja šos datus, lai atrisinātu visus konfliktus. Piemēram, dažkārt šķita, ka vairāk nekā viens lietotājs ir cēlies no vienas IP adreses vai vienam lietotājam bija vairākas ID adreses laika periodos, kas pārklājas.

HostTracker atrisina konfliktus, izmantojot savstarpējas atsauces uz datiem, lai identificētu starpniekserverus, kas ļauj vairākiem saimniekiem parādīties kā viena IP adrese, un lai noteiktu, kad viesis izmantoja likumīgu resursdatoru. Fakts, ka mēs varam izsekot ļaunprātīgai datplūsmai līdz pašam starpniekserveram, ir uzlabojums, jo mēs varam precīzi noteikt precīzu izcelsmi, saka Xie.



Pētnieki arī izveidoja veidu, kā automātiski iekļaut trafiku no noteiktas IP adreses melnajā sarakstā, tiklīdz HostTracker sistēma ir noteikusi, ka resursdators šajā adresē ir apdraudēts. Izmantojot šo metodi simulācijā, pētnieki varēja bloķēt ļaunprātīgu trafiku ar piecu procentu kļūdu līmeni — citiem vārdiem sakot, 5 no 100 IP adresēm, kas klasificētas kā ļaunprātīgas, faktiski bija likumīgas. Izmantojot papildu informāciju, lai noteiktu labu lietotāja uzvedību, šis viltus pozitīvā rādītājs tika samazināts līdz mazāk nekā vienam procentam.

Rezultāti liecina, ka HostTracker būtu labs veids, kā uzlabot pašreizējo aizsardzības veidu pret izplatītiem pakalpojumu atteikuma uzbrukumiem un surogātpasta kampaņām, saka Ginters Olmans, uzņēmuma pētniecības un attīstības viceprezidents. Damballa , uzņēmums, kas palīdz uzņēmumiem atrast un novērst apdraudētus saimniekdatorus datortīklā.

Šīs metodes izmantošana palīdzēs atrast robottīklus, kuriem ir augsts trafika biežums, piemēram, surogātpasta kampaņas, DDoS uzbrukumus un, iespējams, klikšķu uzbrukumus, saka Olmans. Citi uzbrukumi, piemēram, paroļu zādzība un banku Trojas zirgi, kur uzbrukums ir vairāk vērsts uz saimniekdatoru, — šāda veida tehnika nebūtu tik efektīva.



Xie atzīst, ka, lai gan šī metode ir noderīga, lai izveidotu izsekojamo resursdatoru sarakstus, tā var būt mazāk noderīga tiesībaizsardzības iestādēm, kas mēģina identificēt uzbrucējus, kas ir saistīti ar tiešsaistes noziegumiem. Viņa saka, ka atbildība, par kuru mēs runājam, nav tiesas atbildība. Mēs vēlamies nošķirt abus jēdzienus. Atbildība, par kuru mēs runājam, ir spēja identificēt saimniekus.

paslēpties