Repórter News - reporternews.com.br
Nova tecnologia é mais eficiente contra ataques de worms
Pesquisadores de universidade Penn State, nos Estados Unidos, desenvolveram uma tecnologia anti-worm que detecta e intercepta este programas malignos de maneira mais rápida que os sistemas convencionais e é também capaz de fornecer informações sobre a garantia dos arquivos dispostos em quarentena pelo usuário. O PWC (Proactive Worm Containment) trabalha diretamente monitorando a rede, o que reduz o tempo para bloquear ataques.
Segundo o centro de pesquisas que desenvolveu o projeto, muitas tecnologias utilizadas para o bloqueio de worms não respondem tão rapidamente aos ataques, criando aberturas e vulnerabilidades na rede. Como resultado, tais programas levam muito tempo entre reconhecer o arquivo infectado e criar a assinatura para bloquear sua propagação.
Por não depender de assinaturas, o PWC é diferente destes tipos de bloqueio de worms por trabalhar com a taxa ou freqüência de conexões de um dado pacote e analisando a diversidade de conexões a outras redes, o que o torna mais ágil do que os que lançam mão de outras tecnologias: "Ele busca anomalias nos padrões de rede, impedindo que worms se propaguem", diz o chefe das pesquisas PWC, Peng Liu.
De acordo com o site do Colégio de Ciências e Tecnologia da Penn State University, sistemas baseados em assinaturas podem em poucos minutos reconhecer um worm e interromper sua proliferação. Porém, o tempo que estes sistemas levam para criar a assinatura é também o tempo suficiente para um worm se recriar e se propagar pela rede.
Liu estima que poderiam ser enviadas algumas dúzias de arquivos infectados antes do worm ser colocado em quarentena pelo PWC. "Comparativamente, o worm Slammer, que atacava o Microsoft SQL Server, enviava em média 4.000 pacotes infectados a cada segundo", disse Liu.
Para verificar se um host suspeito está infectado ou não, o PWC utiliza duas novas técnicas que reduzem o efeito que poderia ser causado por arquivos infectados: análise da janela de vulnerabilidade e análise de relaxamento.
A primeira é uma forma de checar a vulnerabilidade de um software, definindo o intervalo de tempo em que medidas defensivas estão reduzidas, comprometidas ou ausentes. Quanto à segunda, trata-se de um artifício matemático de otimização visando a relaxar um dado requisito formal, seja substituindo-o por outro mais exeqüível, seja descartando-o por completo.
O PWC pode ser agregado a filtros baseados em assinaturas. Liu admite que seu sistema não poderia ser capaz de marcar worms com propagação mais lenta, por estar focado nas conexões, entretanto afirma que isto já pode ser resolvido pelas tecnologias atualmente em uso. Pode-se conhecer mais sobre a tecnologia no website do Colégio de Ciências e Tecnologia de Penn State através do atalho tinyurl.com/ypo6b5.
Segundo o centro de pesquisas que desenvolveu o projeto, muitas tecnologias utilizadas para o bloqueio de worms não respondem tão rapidamente aos ataques, criando aberturas e vulnerabilidades na rede. Como resultado, tais programas levam muito tempo entre reconhecer o arquivo infectado e criar a assinatura para bloquear sua propagação.
Por não depender de assinaturas, o PWC é diferente destes tipos de bloqueio de worms por trabalhar com a taxa ou freqüência de conexões de um dado pacote e analisando a diversidade de conexões a outras redes, o que o torna mais ágil do que os que lançam mão de outras tecnologias: "Ele busca anomalias nos padrões de rede, impedindo que worms se propaguem", diz o chefe das pesquisas PWC, Peng Liu.
De acordo com o site do Colégio de Ciências e Tecnologia da Penn State University, sistemas baseados em assinaturas podem em poucos minutos reconhecer um worm e interromper sua proliferação. Porém, o tempo que estes sistemas levam para criar a assinatura é também o tempo suficiente para um worm se recriar e se propagar pela rede.
Liu estima que poderiam ser enviadas algumas dúzias de arquivos infectados antes do worm ser colocado em quarentena pelo PWC. "Comparativamente, o worm Slammer, que atacava o Microsoft SQL Server, enviava em média 4.000 pacotes infectados a cada segundo", disse Liu.
Para verificar se um host suspeito está infectado ou não, o PWC utiliza duas novas técnicas que reduzem o efeito que poderia ser causado por arquivos infectados: análise da janela de vulnerabilidade e análise de relaxamento.
A primeira é uma forma de checar a vulnerabilidade de um software, definindo o intervalo de tempo em que medidas defensivas estão reduzidas, comprometidas ou ausentes. Quanto à segunda, trata-se de um artifício matemático de otimização visando a relaxar um dado requisito formal, seja substituindo-o por outro mais exeqüível, seja descartando-o por completo.
O PWC pode ser agregado a filtros baseados em assinaturas. Liu admite que seu sistema não poderia ser capaz de marcar worms com propagação mais lenta, por estar focado nas conexões, entretanto afirma que isto já pode ser resolvido pelas tecnologias atualmente em uso. Pode-se conhecer mais sobre a tecnologia no website do Colégio de Ciências e Tecnologia de Penn State através do atalho tinyurl.com/ypo6b5.
Fonte:
Magnet
URL Fonte: https://reporternews.com.br/noticia/241431/visualizar/
Comentários