Een worm die in minder dan vijf minuten internet platlegt is inmiddels geen fabeltje meer, al is deze nog niet voorgekomen. Een nieuw onderzoeksprogramma aan de Vrije Universiteit (VU) moet hulpmiddelen bieden om dergelijke snelle uitbraken te pareren.
|
Bos ziet veel overeenkomsten tussen de bestrijding van computervirussen en de uitroeiing van echte ziektekiemen. “Er zijn verschillende soorten netwerkaanvallen, net zoals er verschillende soorten ziekteverwekkers zijn. Sommige verspreiden zich snel, andere langzaam, sommige zijn gemakkelijk te herkennen, andere juist weer moeilijk. Het is dan ook onzinnig een kuur uit te vinden voor alle ziekten. Voor Aids gebruik je condooms, voor Sars en Ebola zijn drastische en snelle reacties nodig. Gezamenlijk leiden alle maatregelen hopelijk tot een goede bescherming”, meent Bos. De VU wil zijn onderzoek toespitsen op het onderscheppen van snelle wormuitbraken in het netwerk. Fabrikanten van antivirus-software beschermen de computer en specifieker de mailapplicatie tegen besmetting met bekende virussen of varianten daarop.
Automatische patroonherkenning
Deze bestudering van ultrasnelle wormen is één van de in totaal drie projecten uit het onderzoeksprogramma. Dit DeWorm-project moet een systeem opleveren voor automatische patroonherkenning van deze flash-worms. Een ander onderdeel, het NoAH-project, moet zorgdragen voor een internationaal netwerk van sensoren die nieuwe aanvallen op internet moeten waarnemen. Tot nu toe is het gebruikelijk dat deze honingpot voor de waarneming van netwerkinbraken en virusaanvallen zelfstandig opereert. In het NoAH-project komt er een softwarelaag die al het verkeer van en naar deze nepsystemen analyseert. “Hoe meer van deze gekoppelde observatieposten in het netwerk zijn ingebouwd des te sneller een aanval is waar te nemen. Dat wint tijd voor het nemen van maatregelen”, aldus Bos.
Naast deze verzameling honingpotten komt er ook een collectie van sensoren voor een ander monitoringssysteem. Dit laatste onderdeel uit het onderzoeksprogramma, het Lobster-project, inspecteert het hogesnelheidsnetwerk op afwijkingen in het verkeer. Zodra deze voorkomen haalt het systeem dit verkeer uit de stroom en analyseert het op pakketniveau het afwijkende netwerkverkeer en probeert daar patronen in te herkennen. Deze maatregel is volgens Bos een belangrijke aanvulling op de sensoren, omdat deze in de toekomst niet meer toereikend zijn. Hij verwacht dat een slimme wormbouwer de kwaadaardige software een lijst met ip-adressen meegeeft van echte systemen om zo het lokaas te omzeilen. Honingpotten zijn in de meeste gevallen niet van een regulier adres voorzien.
Scampi
Het onderzoek aan de VU bouwt voort op het Europese onderzoeksproject Scampi naar hulpmiddelen voor observatie van hogesnelheidsnetwerken. Het Lobster-project gebruikt de in dit project ontworpen netwerkkaarten, omdat de pc de capaciteitssprong in de netwerktechnologie niet heeft kunnen bijbenen. De kaart is voorzien van afzonderlijke eenheden die elk hun specifieke taak in het controleren van de stroom netwerkpakketten op zich nemen. Lobster gebruikt deze kaarten als basis. Het vult deze aan met een besturingssysteem, middleware en applicaties voor herkenning van netwerkaanvallen en indringersdetectie, die op gewone werkstations kunnen draaien. Alleen dan zal het systeem zijn weg vinden bij de universiteiten en instellingen die deel uitmaken van Europese onderzoeksnetwerken als SURFnet, Cesnet en Uninett, meent Bos.
Bij het bouwen van dit systeem verwacht hij de nodige obstakels rond privacy. Het is niet zonder meer toegestaan om datapakketjes op te halen en deze in te kijken. Zeker in een internationale context is het heel erg belangrijk om de rechten en verantwoordelijkheden in dit monitoringssysteem goed uit te werken. Er zijn rollen waar een beheerder of beheerapplicatie alleen toegang heeft tot bepaalde velden in het ip-pakket of alleen informatie krijgt over de totale omvang van het netwerkverkeer.
Bos heeft goede hoop dat het onderzoeksprogramma ook een belangrijke bijdrage kan leveren aan het autonoom bestrijden van een wormuitbraak. “Het is een erg ambitieuze claim, maar het summum zou zijn als het systeem zelfstandig al het netwerkverkeer van de worm blokkeert. Dan is menselijke tussenkomst niet meer nodig”, aldus Bos. Het grote gevaar bij dit zelfstandig optreden is dat regulier netwerkverkeer door een al te ijverig systeem opgehouden wordt. “Voor je het weet heb je op deze manier je eigen ddos-aanval gecreëerd, die de reguliere dienstverlening op het netwerk lamlegt. Dat moet je natuurlijk te allen tijde zien te voorkomen”, besluit Bos.
Nieuw elan
De VU hoopt dat het nieuwe onderzoeksprogramma naar wormen en virussen de studie Informatica aan de universiteit nieuw elan zal geven. “De VU ziet net als andere universiteiten dat informatica minder in trek is bij studenten. Van computervirussen gaat altijd een zekere spanning en geheimzinnigheid uit. Bovendien is het uitermate concreet onderzoek. Ik verwacht dus wel de nodige belangstelling”, zegt Bos, programmaleider van het nieuwe project. Het onderzoek biedt waarschijnlijk plaats aan vier assistenten in opleiding, een postdoctorale onderzoeker en een aantal programmeurs. Daarnaast is er ruimte voor “goede afstudeerprojecten” aldus Bos.< BR>
