Скрытые интернет-сенсоры, устанавливаемые в крупных сетях для отслеживания активности червей, могут стать бесполезными. Их выдадут подробные статистические отчеты, попадающие в открытый доступ, считают докладчики симпозиума по безопасности Usenix.
Сенсорные системы устанавливаются на узлах провайдеров и «ловят» трафик, адресованный на несуществующие IP. Пакеты на такие адреса, как правило, отправляют черви, сканируя сеть, или хакеры. Отчеты об «улове» регулярно публикуются на сайтах сенсорных систем, например, Internet Motion Sensor университета Мичиган и Internet Storm Center SANS .
Чтобы хакеры и авторы червей не включали сенсоры в свои «черные списки», наличие сенсоров держат в секрете. Джон Бетенкурт (John Bethencourt), один из авторов доклада, считает, что сенсор сначала «спровоцируют», а потом прочтут отчет о том, что специально посланные пакеты были заблокированы. Если информации о лжеатаке не будет в отчете, значит, сенсоры отсутствуют.
Бетенкурту с коллегами удалось вычислить огромное количество сенсоров, атакуя сеть случайными пакетами на случайные адреса. На это ушло меньше недели. Они пользовались скоростным соединением, но и с медленным каналом выяснение наличия сенсоров заняло бы ненамного больше времени, утверждает Бетенкурт. Кроме того, обнаружить сенсор можно и без составления списков, по его особенностям.
Японские исследователи утверждают то же самое в докладе «Уязвимости пассивных мониторов угрозы в интернете». Они разработали несколько алгоритмов по обнаружению сенсоров «за удивительно короткое время». «Мы считаем, что обнаружили новый класс угрозы интернету», — пишут исследователи, «потому что она угрожает не непосредственно системам хостов, а метасистемам, предназначенным для защиты хостов».
Устранить угрозу можно, в первую очередь, убрав дополнительные подробности из отчетов сенсоров. По мнению висконсинских исследователей, такие контрмеры, как шифровка и блокада IP-адресов атакующего, неадекватны. А протокол IPv6 с необъятным адресным пространством, напротив, сильно затруднит жизнь червям, сканирующим случайные адреса.
Источник: Cnews.ru
Одно найти легче, чем другое. Спойлер: это не темная материя