Wombat: Boj s webovými hrozbami

Výzkum a vývoj bezpečnostních řešení či antivirů patří obvykle mezi velmi střežené oblasti, o nichž velké antivirové společnosti z pochopitelných důvodů příliš nehovoří. Pochopitelně až na případné výjimky.

Wombat: Boj s webovými hrozbami


Půldenní akce, kterou ve svých mnichovských kancelářích uspořádala společnost Symantec, byla věnována jednak vlastnímu výzkumu a trendům, jako je využití cloud computingu pro vyhodnocování hrozeb či aktuální oblasti výzkumu, ale též představení evropského projektu Worldwide Observatory of Malicious Behaviors and Attack Threats (Wombat) a dvou dalších příbuzných: evropského projektu Antiphish a projektu Vampire, financovaného z francouzských peněz. Všechny tři jsou hostovány institutem Eurecom sdružujícím 13 akademických a osm průmyslových partnerů ze starého kontinentu.

V případě projektu Antiphish jde, jak název napovídá, o zlepšení identifikace podvržených e-mailů na základě filtrování obsahu zpráv – v jeho rámci tedy probíhá sběr a vyhodnocování phishingových e-mailů a následné úpravy inteligentních detekčních algoritmů. Pro projekt bylo vytvořeno konsorcium, v němž jsou vedle Symantecu především Faun­hofer IAIS, KU Leuven a Tiscali.

O poznání originálnější je francouzský tříletý projekt Vampire, financovaný Agence Nationale de Recherche. Jeho cílem je hloubková analýza možných hrozeb v oblasti internetových hlasových služeb (VoIP) a Internetových multimediálních systémů (IMS). Možnost zneužití VoIP sy­stémů může znít poněkud překvapivě, ale je třeba si uvědomit, že se jedná o systémy, které zahrnují infrastrukturu účtování hovorného a platby, které jsou navíc mnohdy inkasovány automaticky a okamžitě z „kreditu“. Uživatelé navíc mají díky spolehlivosti a bezpečnosti „klasické“ telefonní infrastruktury ve VoIP velkou důvěru. V případě úspěšného „napíchnutí“ VoIP infrastruktury a následného prodeje přístupu a spojení třetí straně jsou přitom potenciální zisky pro útočníky poměrně zajímavé.

Cílem projektu Wombat, jak název napovídá, je sledování nebezpečného chování a hrozeb na internetu. Jde tedy o vylepšení mechanizmů pro identifikaci, sběr a analýzu hrozeb a pochopitelně též o hledání nejúčinnějších obranných strategií. Podstatné přitom nejsou jen hrozby či malware samotný, ale také související metadata a kontextové informace, které umožňují efektivnější vyhodnocení hrozby.

Wombat využívá třífázového postupu – v prvním kroku je nebezpečný kód sebrán pomocí návnad, vyhledávačů či od uživatelů, následně je přenesen na úložiště, kde je provedena analýza samotného kódu a kontextových dat. Pro tuto práci jsou vytvořeny tzv. senzory – tedy systémy, které provedou sběr malwaru, vykonají identifikaci pomocí běžných antivirových metod (porovnání kódu) a zároveň behaviorální analýzu – tedy rozbor chování škodlivého kódu. Senzor následně předá zjištěné informace bráně systému Wombat, která je uloží do databáze, provede další rozbor a porovnání a nakonec vytvoří pro daný kód signatury.

Na první pohled se systém podobá tomu, co provozuje většina dodavatelů antivirových programů: sebrat škodlivý kód, vyhodnotit, vytvořit signaturu, distribuovat aktualizaci. V případě Wombatu je ale podstatná kombinace signatury s metadaty a následné vyhodnocení útoků a vytváření modelů, které kombinují údaje o aktivitě, zdrojích útoků, cílech a další podrobnosti. Sledovány a vyhodnocovány tak nejsou jen signatury, ale celková aktivita a typické modely či vzory útoků.

Možnost vyhodnocovat útoky jako celek výrazně zvyšuje efektivitu systému při odhalování podobných hrozeb. Vyhodnocování útoků pomocí společných znaků, jako jsou země původu, cílové platformy či zdrojové rozsahy IP adres, navíc umožňuje odhalit koordinované a jasně cílené útoky. Mezi zajímavé informace, které se takto podařilo nashromáždit, patří například průměrná životnost „zombie“ počítačů coby útočníků – 98 dní (ovšem zdá se, že některá zombie PC mohou fungovat coby zdroj útoků po dobu přesahující 500 dní). Stejně tak se jasně prokázala koordinace útoků „zombie armád“ a bylo možné získat další informace jako distribuci jejich zdrojových IP adres.

Mnohé ze zjištění, objevů a statistik Wombatu na své praktické využití teprve čekají. Jisté ale je, že podobné společné projekty, snad i za účasti několika významných hráčů z oblasti ICT bezpečnosti jsou do budoucna správnou cestou – společný sběr, vyhodnocování, sledování a potírání hrozeb, jakýsi Interpol internetu, bude v dohledné době dost možná nezbytný. Pokud se vás bezpečnost úzce dotýká, můžete se zapojit hned – stačí hostovat Wombat senzor, výměnou získáte data sety a nástroje vytvořené v rámci projektu.





Komentáře