Project Vigilante slaat worm aan de haak

Kleine hoeveelheid 'lokaas' verkleint risico's al enorm

Microsoft ontwikkelt technologie om wormen en aanvallen tegen te werken. Op zijn manifestatie TechFest beschreef het bedrijf hoe in het project Vigilante honingpotten gebruikt worden om wormen automatisch op te sporen en onschadelijk te maken zodra ze netwerken binnenkomen. Microsoft voegde er aan toe dat het een onderzoeksproject betreft en dat niet besloten is of, en zo ja wanneer, zulke gereedschappen ingebouwd worden in Windows.

Een honingpot is een server met een niet-gepubliceerd ip-adres. Honingpotten worden gewoonlijk aan internet gehangen en niet aan een LAN. Het gebruik van overtollige ip-adressen is een bijna honderd procent garantie dat elke poging om die server binnen te komen van een worm afkomstig is, of het gevolg van een andere niet-toegestane activiteit. Wormen kiezen vaak willekeurige ip-adressen om aan te vallen, dus de kans dat ze een honingpot aanvallen is even groot als die op een aanval op een 'echte' server.
Monitoring-gereedschap dat op de honingpot draait, inspecteert de binnenkomende TCP/IP-verbindingen en kan automatisch een handtekeningbestand produceren. Daarmee kan een geschikte firewall zulk soort pakketten tegenhouden als die naar een productieserver worden verstuurd.
Honingpotten zijn populair bij beveiligingsexperts, maar Microsoft zou de eerste grote softwareaanbieder zijn die dergelijke tools inbouwt in veeltoegepaste software. Het bedrijf is in een goede positie om dat te doen, want honingpotsystemen worden het meest effectief ontplooid met server-virtualisatietools. Twee onderzoekers van Microsoft, Manuel Costa en Jon Crowcroft van de Universiteit van Cambridge, hebben het project Vigilante in detail beschreven in een technical white paper. Over de omvang van het probleem schrijven de auteurs: "Wormen verspreiden zich sneller dan mensen kunnen reageren. De Slammer-worm bijvoorbeeld besmette in 10 minuten 90 procent van de kwetsbare hosts." Het rapport concludeert dat honingpotten het probleem aankunnen. "Onze voorlopige bevindingen wijzen uit dat Vigilante zich snel verspreidende wormen die onbekende kwetsbaarheden uitbuiten, effectief in toom kan houden."
Laboratoriumgegevens van het Vigilante-project geven aan dat een klein aantal honingpotsystemen een groot servernetwerk zou kunnen beschermen. "Onze gegevens laten zien dat een heel kleine fractie detectoren (0,001) voldoende is om infectie van een worm als Slammer in te perken tot minder dan tien procent van de kwetsbare populatie." De onderzoekers merken op: "Dynamische dataflow-analyse is in staat een aanval te detecteren, zelfs als die de structuren van programmagegevens met rust laat en niet overschrijft. Een dergelijke analyse kan ook ingezet worden bij zelf-modificerende code of dynamisch gegenereerde code. Bovendien is toegang tot de broncode niet vereist."
Naast het honingpot-project is Microsoft bezig een beschermende architectuur te ontwikkelen die software kan herschrijven terwijl die draait, om zo nieuwe checks toe te voegen die het hackers onmogelijk maken servers te kapen door buffer overflows te exploiteren.
 
Vertaling: René Rippen
 
Roger Howorth