Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Bron: Informationweek

Onderzoekers van de Penn State-universiteit hebben een nieuwe antimalwaretechnologie ontwikkeld. Wormen moeten met behulp van de technologie in luttele milliseconden herkend kunnen worden, wat hun verspreiding moet bemoeilijken.

Worm met bazooka (Worms Armageddon)Met Proactive Worm Containment, zoals de technologie gedoopt werd, worden de hoeveelheid verstuurde datapakketjes en de frequentie van het opzetten van nieuwe verbindingen in de gaten gehouden. Traditionele oplossingen rekenen op signature-bestanden en het herkennen van typische wormpatronen, wat de herkenningssnelheid niet ten goede komt. Vaak duurt het tegenwoordige nog een paar minuten om een worm te detecteren, waardoor de malware de kans krijgt zich verder te verspreiden en zo meer schade aan te richten. Volgens professor Peng Liu, verantwoordelijk voor het onderzoek naar het nieuwe systeem, zou met zijn proactieve benadering ervoor gezorgd kunnen worden dat een worm slechts een paar dozijn pakketjes verstuurt alvorens geblokkeerd te worden. Ter vergelijking verwijst Liu naar de Slammer-worm, die zowat vierduizend pakketjes per seconde verstuurde om netwerken te infecteren. Een bijkomend voordeel van Proactive Worm Containment is dat de technologie ontworpen is om ook zogenaamde false positives te detecteren en de blokkering daarvan automatisch op te heffen.

Moderatie-faq Wijzig weergave

Reacties (26)

En als je een mailinglijst hebt?

edit:
ja, inderdaad.. dezelfde gedachte gelijktijdig...
Mij leek het meer om wormen te gaan die zelf actief andere computers aanvalt en zichzelf niet alleen maar doormailt. Het doormailen gaat via 1 server en aanvallen worden simultaan (er wordt gekeken naar frequentie van het opzetten van nieuwe verbindingen) op verschillende computers uitgevoerd. Dan zijn ze vrij makkelijk te herkennen. Het idee klinkt aardig, in hoeverre het ook echt werkt en niet alleen maar in de weg zit is natuurlijk de vraag, het constant herversturen van 'goede' packets zal meer problemen dan oplossingen bieden. (Bittorrent verkeer zou overigens wel eens snel als worm gezien kunnen worden door vele connecties en snel groter wordend dataverkeer. Conspiracy met de RIAA en MPAA!)

edit: te lang getypt, jealma zag het BT-gevaar ook al aankomen
En wat is 't technische verschil met bedrijven die grote mailings de deur uit moeten doen? Volgens mij is 't vrij kansloos (c.q: 't blijft kat-en-muis).
"Een bijkomend voordeel van Proactive Worm Containment is dat de technologie ontworpen is om ook zogenaamde false positives te detecteren en de blokkering daarvan automatisch op te heffen."

geen probleem dus... als het goed werkt.
Dat van 't voorkomen van 'false positives' lijkt me puur marketingpraat.
Waarom `marketingpraat'?? Op basis van wat? Nada?
Hm. `inzichtvol' indeed.

Trouwens, er is hier niet echt een probleem: het bericht sprak van `milliseconden'. Dus zodra er iets pakketjes begint te spuien terwijl het daarvoor niets deed, of net binnengekomen is, is er wel degelijk iets aan de knikker.

Als dan een halve seconde later blijkt dat dat wat te wantrouwend was, then go ahead en laat de pakketjes passeren --- gaat de gebruiker dat merken? Nee.
@Marvin:
Op basis van 't feit dat er patent is op aangevraagd. Dus commercieel. Dus niet onpartijdig. Dus WC-eend... etc.
http://automatiseringgids...euwsbericht.jsp?di=306649
Ik ben heel benieuwd wanneer deze technologie ook daadwerkelijk beschikbaar wordt.

en hoe lang het dan nog duurt voordat de malware producenten, er een omzeil systeem hebben.
want zoals hierboven gezegd wordt hoe zit het met een normale mailinglist, het lijkt me toe dat ze dan met een fake maillist komen, en daarmee ´vrolijk´ verder gaan verspreiden.
ach.. als t te snel gaat, wordt t hierdoor opgepakt, als t te traag gaat, door andere heuristische methoden.. waar zit t gat?
Is het heel gek als ik denk dat je dan dus je gedragspatroon van je worm aan gaat passen?

In plaats van 4000 pakketjes per seconde, slechts één per seconde/minuut/uur. En pas actief wordt na een uur/dag/maand.
Als je op die manier op den duur 100/1000/10.000 pc's hebt besmet, gaat het vanzelf snel.

Veel diefstallen worden ook niet vlug-vlug gepleegd, maar juist tergend langzaam, waardoor je het niet in de gaten hebt.
Assumptie:we sporen wormen op met deze nieuwe EN met de oude signatuurherkenningsmethode.

De versprijdingssnelheid zal toch verschillende grootte ordes lager liggen. In de periode dat ie niet herkent is zal hij minder verspreiden. De verspreidingssnelheid is cruciaal voor een virus. Indien hij te traag vermenigvuldigd word sneller vernietigd.

Dus neen, de snelheid omlaag halen zal de worm niet helpen.
ben ik nou gek of hadden we dit al veel eerder ergens anders gezien? komt me erg bekend voor in ieder geval.

of was dat meer op ISP nivo en gaat het hier om een techniek voor de thuis gebruiker/kantoor pc?
zou mooi zijn opzich maar het grootste probleem zijn de mensen zonder firewall/virus scanner en die hebben dus ook geen software die deze techniek toepast.
Leuk die false positives, schrijf een worm die het gedrag van mailinglijsten nabootst of misbruik maakt van een lek in een mailclient en het is dag-dag met dit systeem. Desalniettemin goed dat ze naar andere mogelijkheden om worms tegen te gaan :)
Dat wordt dus ook geen poort / netwerkscanner meer dan (en nog veel meer)... Het lijkt mij dat dit ook niet de gewenste oplossing is...
Doet me denken aan de Norman Sandbox.
Hopen dat ie mijn Azureus niet detecteerd als een worm...
Je wordt toch niet verplicht om bescherming die op deze manier werkt te gebruiken. Je kunt software gebaseerd op dit principe gewoon niet installeren. Er zal waarschijnlijk ook wel een white list te maken zijn van programma's die niet gecontroleerd hoeven te worden.

Dan zou het ook problemen op kunnen leveren als je veel webpagina's tegelijk opent. (zoals met de imageshow firefox plugin. Een pagina met een honderden foto's wordt dan in een keer geladen)
Een worm farm

http://res2.agr.ca/london/images/earthworm_farm.gif

is toch volgens mij meer dan voldoende, daar voelen die beestjes zich het meest op hun gemak (buiten de natuur om)

Voor de rest alleen maar mooi dat ze meer oplossingen zoeken, maar ook deze zal weer extra cpu tijd kosten tegen over niets op je pc draaien :'(
Geef je pc eens een gentoo penguin, helpt ook goed :Y)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True