Microsoft Team sleduje škodlivé uživatele

Anonymita na internetu může být požehnáním i prokletím. Zatímco možnost skrývat se za anonymní proxy a rychle se měnící adresy internetového protokolu (IP) umožnila svobodnější projev v zemích s represivními režimy, stejné technologie umožňují kyberzločincům skrýt své stopy a vydávat škodlivý kód a spam za legitimní komunikaci.

V příspěvku, který bude představen příští týden na adrese SIGCOMM 2009 v Barceloně ve Španělsku demonstrují tři výzkumníci z výzkumného centra Microsoftu v Mountain View v Kalifornii způsob, jak odstranit štít anonymity z takových stínových útočníků. Pomocí nového softwarového nástroje byli tři počítačoví vědci schopni identifikovat stroje odpovědné za škodlivou činnost, i když se IP adresa hostitele často měnila.

To, čeho se skutečně snažíme dosáhnout, je hostitel odpovědný za útok, řekl Yinglian Xie , člen týmu Microsoft. Nesnažíme se tyto identifikátory sledovat, ale spojujeme je s konkrétním hostitelem.

Prototyp systému s názvem HostTracker by mohl vést k lepší obraně proti online útokům a spamovým kampaním. Bezpečnostní firmy by si například mohly vytvořit lepší obrázek o tom, kteří internetoví hostitelé by měli být blokováni v odesílání provozu na jejich klienty, a kyberzločinci by měli obtížnější maskovat své aktivity jako legitimní provoz.

Xie a její kolegové, Fang Yu a Martin Abadi, analyzovali měsíční objem dat – 330 gigabajtů – shromážděných od velkého poskytovatele e-mailových služeb, ve snaze zjistit, kteří uživatelé jsou zodpovědní za rozesílání spamu. Aby vědci vystopovali původ mnoha ohnisek spamu, studovali záznamy obsahující více než 550 milionů uživatelských ID, 220 milionů IP adres a časové razítko pro události, jako je odeslání zprávy nebo přihlášení k účtu.

Sledování původu zpráv – klíčový úkol pro sledování spamu a dalších druhů internetových útoků – zahrnovalo rekonstrukci vztahů mezi ID účtů a hostiteli, ze kterých se uživatelé připojovali k e-mailové službě. Za tímto účelem výzkumníci spojili všechna ID, ke kterým přistupovali z různých hostitelů za určité časové období. Software HostTracker pak tato data pročesal, aby vyřešil případné konflikty. Někdy se například zdálo, že více než jeden uživatel pochází ze stejné IP adresy nebo jeden uživatel měl více ID adres během překrývajících se časových období.

HostTracker řeší konflikty křížovým odkazem na data, aby identifikoval proxy servery, které umožňují, aby se několik hostitelů zobrazovalo jako jediná IP adresa, a určil, kdy host používal legitimního hostitele. Skutečnost, že jsme schopni vysledovat škodlivý provoz k samotnému proxy, je zlepšení, protože jsme schopni určit přesný původ, říká Xie.

Výzkumníci také vytvořili způsob, jak automaticky zakázat provoz z konkrétní IP adresy, jakmile systém HostTracker zjistí, že hostitel na této adrese je kompromitován. Pomocí této metody v simulaci byli vědci schopni zablokovat škodlivý provoz s chybovostí pět procent – ​​jinými slovy, 5 ze 100 IP adres klasifikovaných jako škodlivé bylo skutečně legitimních. Použití dalších informací k identifikaci dobrého chování uživatelů snížilo míru falešně pozitivních výsledků na méně než jedno procento.

Výsledky naznačují, že HostTracker by byl dobrým způsobem, jak vylepšit současný způsob obrany proti distribuovaným útokům typu denial-of-service a spamovým kampaním, říká Gunter Ollmann, viceprezident výzkumu a vývoje ve společnosti Damballa , firma, která pomáhá společnostem najít a odstranit ohrožené hostitele v počítačové síti.

Použití této techniky pomůže najít botnety, které mají vysokou frekvenci provozu, jako jsou spamové kampaně, DDoS útoky a možná i útoky proklikem, říká Ollmann. Jiné útoky, jako je krádež hesel a bankovní trojské koně, kde je útok více zaměřen na hostitele – tento druh techniky by nebyl tak účinný.

Xie uznává, že i když je tato technika užitečná pro vytváření seznamů hostitelů ke sledování, může být méně užitečná pro orgány činné v trestním řízení pokoušející se identifikovat útočníky za online zločinem. Odpovědnost, o které mluvíme, není odpovědností soudu, říká. Chceme tyto dva pojmy oddělit. Odpovědnost, o které mluvíme, je schopnost identifikovat hostitele.

skrýt