Computerbedrijf Hewlett-Packard heeft in zijn laboratorium te Bristol een applicatie ontwikkeld die de verspreiding van virussen en wormen tegengaat. In de toepassing is bewust geen koppeling met antivirusproducten opgenomen; het systeem werkt namelijk zonder identificatie van de besmetting.
|
Onderzoekers Matt Williamson en Jonathan Griffin van het Britse lab gaven vorige week uitleg over hun aanpak. Ze hebben software ontwikkeld die de netwerkverbindingen van de computer waarop de applicatie draait in de gaten houdt. Indien een besmetting plaatsvindt, probeert dat virus zich te verspreiden. De software merkt dat dan op. Vervolgens houdt de applicatie die pakketten tegen, terwijl normaal dataverkeer gewoon doorgang vindt.
| Erkend probleem Technisch directeur Robert Clyde van antivirusleverancier Symantec waarschuwde onlangs nog voor de groeiende kloof tussen de snelheid waarmee beveiligingsaanvallen uitbarsten en de reactiesnelheid van bedrijven en beheerders. De topman sprak op het Global E-Commerce Summit van de Verenigde Naties. Volgens Clyde zijn de meeste website-aanvallen van Klasse III doordat ze uren of zelfs dagen nodig hebben voordat ze effectief voor overlast zorgen. De laatste maanden zijn er echter meer Klasse II-aanvallen opgedoken die in enkele minuten voelbaar zijn. "90 procent van de servers die zijn geraakt door SQL Slammer waren binnen tien minuten aangevallen. We noemen deze klasse Warhol-aanvallen, omdat ze beroemd zijn in ongeveer vijftien minuten." |
Bewust onwetend
De ‘virus-throttling’ die hij en Griffin hebben opgezet, houdt het verdachte dataverkeer op zonder te weten welk specifiek virus of worm het veroorzaakt. Dat is ook niet nodig, aldus de onderzoekers. Indien de plotselinge toename van te verzenden netwerkverkeer ophoudt, geeft de software de opgehouden pakketten weer door. Dit levert een vertraging op die niet of nauwelijks merkbaar is voor eindgebruikers. Indien de toevloed aanhoudt, dumpt de software de achterstallige verdachte zendingen.
Williamson en Griffin bevestigen dat het idee achter hun vinding vergelijkbaar is met de Pushback-aanpak die laboratoria van telecombedrijf AT&T ontwikkelen. Daarbij detecteren netwerkrouters een plotselinge toevloed aan verkeer, veroorzaakt door een – al dan niet gedistribueerde – denial of service-aanval. Vervolgens wordt dat verkeer tegengehouden en de identificatie ervan tegen de netwerkstroom in doorgegeven aan andere routers. Het Japanse telecombedrijf NTT Docomo onthulde eind vorig jaar een eigen Pushback-variant en test deze nu.
De antivirus-methode van HP Labs Bristol is in principe ook toepasbaar op andere aspecten van virus- en wormbesmettingen. Williamson noemt processorbelasting, geheugengebruik en harde schijfactiviteit als mogelijke andere gebieden. Het is nog niet bekend hoe HP de throttling-software op de markt wil brengen.< BR>
