Il Superworms Venente
Le viti senza fine cattive stanno evolvendosi rapidamente, aumentando le loro capacità di spargere e causare danni. Recentemente abbiamo visto le innovazioni importanti nella tecnologia della vite senza fine, con le più nuove viti senza fine che si spargono con cattiveria ed efficientemente che mai, con i warheads ottimizzati, designando le procedure di selezione ed i meccanismi come bersaglio di propagazione. Sopra l'ultimo parecchi anni, qualcuno ha liberato una nuova vite senza fine ogni due - sei mesi con una torsione evolutiva supplementare per confondere le nostre difese. Al tasso stiamo andando, presto affronteremo i cosiddetti superworms che potrebbero potenzialmente inabilitare il havoc serio del wreak al contrario o del Internet. Anche se oltre le viti senza fine sono stato difettoso, fortemente credo che affrontassimo un futuro che è ben più wormier. Analizziamo alcune tendenze recenti in viti senza fine vedere dove queste bestie capo. Sulla base delle carte bianche, le presentazioni ai congressi del hacker ed informali pubblici un--un sulle discussioni che ho avuto con gli sviluppatori della vite senza fine, noi devono ottenere aspettano per le viti senza fine con una varietà di caratteristiche distruttive, compreso multiplatform, il multiexploit, il zero-giorno, veloce-spargersi, polimorfico, metamorfica, viti senza fine vero nasty. Anche se questi termini potrebbero ora suonare come mumbo-enorme tecnico voi, analizzeremo più dettagliatamente ciascuna di queste caratteristiche per ottenere un tatto per che cosa potremmo presto essere in su contro. Inoltre, non strano fuori e la preoccupazione che capovolgeremo fuori dei tipi difettosi su come migliorare le loro viti senza fine. Purtroppo, molti sviluppatori della vite senza fine già sanno circa tutte le tecniche che discuteremo. I vari componenti di codice sono liberamente disponibili per il trasferimento dal sistema centrale verso i satelliti, compreso alcuni snippets interessanti di codice liberati da Michal Zalewski in 2003. I tipi difettosi stanno ottenendo aspettano per liberare queste cose; dobbiamo capirli in modo da possiamo essere preparati. Viti senza fine Di MultiplatformLa maggior parte delle viti senza fine attacano solitamente soltanto un tipo di sistema operativo per la vite senza fine, richiedente ai coordinatori di schierare le zone ad un singolo tipo di sistema per effettuare le difese adatte. Nell'immediato futuro, i superworms sfrutteranno i tipi multipli del sistema operativo, compreso Windows, Linux, Solaris, il BSD ed altri, interamente spostati in su in un singolo warhead. Il più vecchio, viti senza fine della singolo-piattaforma ha richiesto l'applicazione della zona ad un singolo tipo di sistema operativo, qualcosa che i coordinatori facessero comunque in maniera regolare. Difendendo contro le viti senza fine sinister del multiplatform richiederà molto più lavoro e coordinazione, poichè dovremo applicare le zone durante i nostri ambienti a tutti i generi di sistemi operativi. Pensi a questo proposito: Invece di appena rattoppatura de tutte le installazioni di un tipo di sistema operativo nel vostro ambiente, dovrete rattoppare tutti i vostri sistemi, senza riguardo al tipo del sistema operativo. Con l'esigenza di coordinazione aggiunta fra i vari tipi del sistema, la nostra risposta notevolmente sarà rallentata, permettendo che la vite senza fine causi molto più danni. Anche se non sono tradizionali (ancora), già abbiamo visto un piccolo numero di viti senza fine del multiplatform liberate contro il Internet. Nel mese di maggio 2001, la vite senza fine di Sadmind/IIS ha cresciuto rapidamente attraverso il Internet, designando il sole come bersaglio Solaris e Microsoft Windows. Poichè il relativo nome implica, questa vite senza fine ha sfruttato il servizio del sadmind usato per coordinare la gestione a distanza delle macchine di Solaris. Da queste macchine della vittima, la vite senza fine si è sparsa al web server di IIS del Microsoft, dove si è sparso più ulteriormente ad altre macchine di Solaris, continuante il ciclo. Viti senza fine Di MultiexploitMolte delle viti senza fine che abbiamo visto nel passato erano un-hanno colpito i wonders, sfruttanti soltanto una singola vulnerabilità in un sistema ed allora spargentesi alle nuove vittime. Alcune più nuove viti senza fine penetrano i sistemi nei sensi multipli, usando fora in tantissime applicazioni rete-basate interamente rotolate in una vite senza fine. Una singola vite senza fine ha potuto potere sfruttare le 5, 20, o persino più vulnerabilità, interamente spostate in un warhead dastardly. Con le più vulnerabilità da sfruttare, queste viti senza fine si spargeranno più con successo e velocemente. Anche se un sistema è stato rattoppato contro alcuni di diversi fori, una vite senza fine del multiexploit ancora potrà riprenderlo sfruttando ancora un altra vulnerabilità. Fin qui, la vite senza fine che del multiexploit più riuscita abbiamo visto era Nimda, in grado di, secondo come contate, spargersi ai sistemi nei sensi differenti un dozzina. Viti senza fine Di Impresa Di Zero-GiornoUn'altra funzione dei superworms venenti si occupa della freschezza delle vulnerabilità che sfruttano. Le viti senza fine che abbiamo visto nel selvaggio finora principalmente hanno utilizzato le vulnerabilità già-sapute per attacare i sistemi. Le viti senza fine come colore rosso di codice e Nimda tutto si sono sparse usando il trabocco dell'amplificatore ed altre imprese che fosse scoperto mesi prima che la vite senza fine fosse liberata. Mentre queste viti senza fine stavano devastando i sistemi sul Internet, già abbiamo saputo circa le vulnerabilità che hanno sfruttato ed i fornitori già avevano liberato in anticipo i mesi delle zone. Naturalmente, perché troppo poca gente applica le zone su una base attuale, le viti senza fine ancora hanno fatto i loro danni. Tuttavia, usando le più vecchie imprese disponibili immediatamente, queste viti senza fine velocemente sono state analizzate ed addomesticato state dalle squadre diligenti di sicurezza. Le zone erano prontamente a disposizione per il trasferimento dal sistema centrale verso i satelliti attraverso il Internet per arrestare queste viti senza fine. Non saremo così fortunati in avvenire. Le più nuove viti senza fine probabilmente si romperanno nei sistemi usando le cosiddette imprese "di zero-giorno", chiamate perché sono brandnew, disponibile al pubblico per i giorni precisamente zero. Con una vite senza fine che si sparge usando un'impresa di zero-giorno, non ci saranno zone ancora disponibili. La Comunità di sicurezza delle informazioni richiederà più tempo di capire come la vite senza fine si sparge. La prima volta vedremo che il codice di impresa usato in queste viti senza fine sarà quando compromettono le centinaia delle migliaia o persino di milioni di sistemi, non un pensiero cheery. Viti senza fine DiDiffusioneLe viti senza fine, dalla loro natura stessa, tentano di spargersi rapidamente. Un caso di una vite senza fine è usato per esplorare per le nuove vittime, cui, una volta conquistato, esplorazione per tuttavia più obiettivi. Le viti senza fine quindi si spargono spesso su una base esponenziale, con il numero di sistemi compromessi col tempo che assomiglia ad una figura del bastone del hockey. Tuttavia, molte viti senza fine che abbiamo combattuto fin qui sono abbastanza inefficienti durante la loro diffusione iniziale. Durante il lancio iniziale di una vite senza fine, la diffusione comincia lentamente fuori. La vite senza fine guadagna gradualmente la velocità mentre alza la curva esponenziale. Potrebbe occorrere molti ore o persino giorni affinchè la vite senza fine raggiunga "il ginocchio" nella curva prima che i numeri serii di macchine della vittima fossero conquistati. Nel mese di agosto del 2001, due carte sono sembrato descriventi le nuove tecniche per elevare la velocità a cui diffusione delle viti senza fine. Ogni carta ha presentato un modello matematico per lo sviluppo delle tecniche hyperefficient di distribuzione della vite senza fine. Fortunatamente, nessun codice è stato incluso con le carte, anche se scrivendo il software basato su queste idee è diretto per persino in uno sviluppatore moderatamente esperto del software. La prima carta, da Nicholas C. Weaver, ha presupposto una vite senza fine di Warhol, in grado di conquistare 99% dei sistemi vulnerabili sul Internet in 15 minuti. Questa struttura di tempo ha provocato il nome della vite senza fine, basato sull'artista che di schiocco 15 minuti di Andy Warhol di fama quip. In 1968, Andy Warhol famoso detto, "in avvenire, tutto sarà famoso per 15 minuti." Ironicamente, a tempo, Warhol si è sviluppato stanco del suo detto più famoso, ottenendo sempre più infastidito al relativo uso ripetuto dai mezzi, riflettenti sulla propria capacità dei mezzi di rendere la gente velocemente ma temporaneamente famosa. Non outdone, la seconda carta è seguito molto attentamente sui talloni del primi ed ha presentato un miglioramento leggero della tecnica di base della vite senza fine di Warhol. Questa seconda carta, da Staniford, torvo e da Jonkman, ha presupposto una cosiddetta vite senza fine istantanea che potrebbe raggiungere la dominazione del Internet in meno 30 secondi. Anche se il per la matematica potrebbe mostrare questo per essere teoricamente allineare, credo che gli impulsi errati nel Internet rendano una disparità fra la teoria e la realtà. La mia scommessa è quella che usando le tecniche di Warhol/Flash, una vite senza fine potrebbe sottomettere il Internet circa in un'ora, give o occorrere 15 minuti. Ciò è appena una struttura di tempo di sedimentazione. Per usare la tecnica di Warhol/Flash, pre-esplorazioni del attacker il Internet da un sistema fisso che cerca le macchine che sono vulnerabili al codice di impresa che più successivamente sarà caricato nel warhead della vite senza fine. Il attacker individua le migliaia o i dieci delle migliaia dei sistemi vulnerabili, senza sfruttarli o riprenderli. Usando una lista degli indirizzi di queste macchine vulnerabili sparse nel mondo intero, il attacker preprogramma la vite senza fine con il relativo primo insieme delle vittime. La vite senza fine allora è liberata su quei sistemi vulnerabili conosciuti con l'alta larghezza di banda più vicina alla base di Internet. Piuttosto che a caso selezionando gli indirizzi per esplorare, i giovani, vite senza fine recentemente introdotta possono immediatamente popolare i sistemi già prescanned per la vulnerabilità. La vite senza fine infetta questo primo insieme delle vittime, quindi scinde la lista restante delle migliaia di prescanned, obiettivi vulnerabili. I vari segmenti della vite senza fine che originale ciascuno allora attaca la loro parte del restante prescanned gli obiettivi. Durante la diffusione iniziale, nessun tempo è sprecato nella selezione o nell'esplorazione degli obiettivi nuovi. La fase prescanning del attacker già ha identificato questi obiettivi, in modo da la vite senza fine può conquistare e propagarsi semplicemente a loro. Dopo che tutti prescanned gli obiettivi si compromettono, gli inizio della vite senza fine per esplorare e spargersi alla popolazione in genere. Inizialmente compromettendo le migliaia di sugoso, prescanned gli obiettivi, la vite senza fine di Warhol/Flash essenzialmente salta sul bastone del hockey di sviluppo esponenziale, di modo che soltanto un tempo relativamente corto è richiesto prima che la dominazione totale fosse realizzata. Viti senza fine PolimorficheI produttori della vite senza fine non desiderano le loro creazioni cattive per essere rilevati, per analizzati e per essere filtrati mentre si spargono. Nella maggior parte delle reti, i sistemi di rilevazione di intrusione (IDSs) possono identificare le viti senza fine ed altri attacchi ed avvisare i buoni tipi, funzionanti come gli impianti antifurto del calcolatore. Oggi, la maggior parte dei attrezzi rete-basati di identificazioni hanno una base di dati delle firme conosciute di attacco. La sonda di identificazioni riunisce il traffico della rete e lo confronta contro le firme conosciute di attacco per determinare se il traffico è cattivo. Gli odierni attrezzi di identificazioni identificano molto facilmente le viti senza fine tradizionali, che utilizzano il codice comune di impresa con le firme prontamente disponibili. Ulteriormente, i buoni tipi di worm-combattimento possono bloccare le viti senza fine durante la loro diffusione e l'd'inversione-assistente tecnico il software cattivo per generare le difese migliori compreso i filtri. Per eludere la rilevazione, sventare l'analisi di d'inversione-ingegneria e per ottenere oltre i filtri, gli sviluppatori della vite senza fine sempre più stanno usando le tecniche polimorfiche di codificazione in viti senza fine. I programmi polimorfici cambiano dinamicamente la loro apparenza ogni volta funzionano rimescolando il loro codice del software. Anche se il nuovo software in se si compone di istruzioni interamente differenti, il codice ancora ha l'esatto la stessa funzione. Con il polimorfismo, soltanto l'apparenza è alterata, non la funzione del codice. Della vite senza fine del carico utile di volontà il morph automaticamente l'intera vite senza fine nelle versioni differenti del mutante in modo che più non abbini le firme di rilevazione, ma esso ancora fa l'esatto la stessa cosa. Quando le viti senza fine vanno polimorfiche, ogni segmento della vite senza fine avrà nuovo codice generato in moto. Ogni segmento specifico della vite senza fine avrà un'apparenza differente su ogni vittima, rendente la molto più dura rilevare ed analizzare. Milioni di segmenti unici della vite senza fine saranno sparsi intorno alla rete, tutta con la stessa funzionalità. Abbiamo visto alcuni punti del bambino verso le vere viti senza fine polimorfiche nel selvaggio. Nel mese di gennaio del 2002, la diffusione della vite senza fine di Klez via il E-mail di prospettiva del Microsoft e le tecniche polimorfiche semplici impiegate, cambianti la linea dell'oggetto di E-mail, per eludere lo Spam di E-mail filtra. Il vettore di distribuzione di E-mail di Nimda inoltre ha alterato la relativa linea tematica. I filtri di Antispam cercano un mazzo di messaggi con il medesimo argomento trasmesso agli utenti differenti, un segno ragionevole grazioso dello Spam di E-mail. Vero, soltanto una piccola parte per Klez e Nimda (la linea tematica e perfino il tipo della lima del collegamento) era polimorfici, ma esso era un inizio giù questa strada. Ulteriormente, uno sviluppatore del software chiamato K2 ha liberato un motore polimorfico di mutazione chiamato ADMutate. Questo attrezzo potente è utilizzato alle imprese di trabocco dell'amplificatore del morph e potrebbe essere incorporato in una vite senza fine come relativo motore morphing a mutate tutta del codice nella vite senza fine. Inoltre, un altro attrezzo ha denominato il codice polimorfico altamente flessibile degli strumenti del Hydan. Klez e Nimda hanno dimostrato l'alimentazione di una punta molto piccola del polimorfismo in una vite senza fine, ma parecchi attackers stanno discutendo l'approvazione dei motori polimorfici inclusi in ADMutate ed in Hydan per generare una vite senza fine completamente polimorfica. Viti senza fine MetamorficheOltre che cambiare la loro apparenza usando il polimorfismo, le nuove viti senza fine inoltre cambieranno dinamicamente il loro comportamento, subendo la metamorfosi. Usando questa tecnica, le possibilità supplementari di attacco sono celate all'interno della vite senza fine. Le tecniche polimorfiche cambiano il codice della vite senza fine mentre mantengono la funzionalità lo stessi; il codice metamorfico realmente cambia la funzionalità della vite senza fine. Le viti senza fine metamorfiche sono come i trattori a cingoli verdi piccoli che si spargono affamato attraverso il Internet. Guardando il trattore a cingoli in se non rivela indicazione della farfalla nascosta all'interno. Similmente, le viti senza fine metamorfiche si spargeranno velocemente mentre nascondono il loro carico utile usando le tecniche di crittografia e di confusione. Solo dopo che la vite senza fine completamente si è sparsa ai numeri enormi di vittime vogliala rivelano il relativo scopo nascosto. In tutta la probabilità, non sarà una farfalla che esca. La vite senza fine maschererà un altro attrezzo di attacco, quali un backdoor, un RootKit, o un registratore di dati atmosferici di battitura. Le viti senza fine metamorfiche aiutano un attacker perché sono d'inversione-assistente tecnico più duro e quindi difendono contro. Ogni volta che una vite senza fine è liberata sul Internet, massa di intercettori die-hard della vite senza fine riunisce i casi della vite senza fine per analizzarla e neutralizzare la relativa diffusione. Molte di questa gente lavorano per le aziende del software di antivirus che liberano i filtri e le difficoltà per la vite senza fine ed altri sono appena ricercatori indipendenti di sicurezza. Usando le tecniche metamorfiche, unite con il polimorfismo, queste viti senza fine sono molto più dure da difendere contro. Viti senza fine Vero NastySe date un'occhiata onesta alle viti senza fine ch'abbiamo affrontato nel passato, realmente sono state ragionevolmente benigno confrontate a ché attacker potrebbe fare con l'alimentazione inerente delle tecniche della vite senza fine. La maggior parte degli attacchi della vite senza fine finora ha messo a fuoco sul propagarsi ampiamente e rapidamente come possibile, non realmente sul distruggere i sistemi conquistati. Infatti, abbiamo visto un mazzo di viti senza fine con i carichi utili nulli. Mi non ottenga il torto, comunque. Anche le viti senza fine che d'allevamento relativamente benigne abbiamo visto per causare danni significativi semplicemente consumando le risorse. Una vite senza fine d'allevamento semplice può succhiare facilmente tutta la vostra larghezza di banda, su alimentazione di computazione e perfino sull'attenzione della vostra squadra di attacco del calcolatore. Tuttavia, le cose hanno potuto essere ben più difettose. Ai superworms di prossimo futuro, potremmo affrontare le viti senza fine che hanno spand un attrezzo altamente cattivo all'interno della vite senza fine in se di attacco. Alcune viti senza fine spargeranno gli agenti di smentita-de-servizio che lanciano un inondazione del Internet contro una vittima. Il colore rosso di codice ha fatto appena quello e le tendenze indicano che la tecnica diventerà molto più popolare. Altre viti senza fine distruggeranno le lime e cancelleranno i dati sensibili. Alcuni hanno potuto fungere da bombe di logica che inducono i sistemi a arrestarsi dopo una determinata struttura di tempo o sull'ordine del attacker, inabilitante tantissime macchine. Le viti senza fine hanno potuto anche rubare i dati, pettinantesi attraverso i sistemi che cercano "il segreto" contrassegnato lime o "il proprietario" al E-mail di nuovo al attacker. Ottenga aspettano per le viti senza fine con le intenzioni ben più nastier. ciò è un articolo aggiunto da Sean Kazen
|
|||||
|