Worm controleert netwerk van HP op lekken
Systeembeheerders kunnen een dagtaak hebben aan het dichttimmeren van hun netwerken en dan nog bestaat het gevaar dat ze een open deurtje over het hoofd zien. Een worm heeft aan één gaatje genoeg om een netwerk binnen te dringen. "De bedreigingen worden steeds meer onzichtbaar. Lette je vroeger met Argusogen op mensen die een floppy van huis meenamen die mogelijk geïnfecteerd kon zijn, tegenwoordig dien je op heel andere dingen te letten. Denk alleen maar aan gebruikers van een laptop met draadloze communicatiemodule. Laat je zo iemand binnen je bedrijf terwijl je geen beschermende maatregelen hebt getroffen, dan is het leed niet te overzien", stel Brown. Het dichten van de gaten in een netwerk is van topbelang. Brown: "Wij hebben een wereldwijd netwerk waarin ongeveer 250 duizend knooppunten zitten. Zou je die allemaal handmatig gaan nalopen dan ben je jaren bezig. Vandaar het, achteraf gezien sublieme, idee om een eigen worm te schrijven die het netwerk afstroopt op zoek naar lekken. Wordt een lek gevonden dan slaat de worm alarm, zowel bij de gebruiker van het systeem in kwestie als bij de beheerder. Verder vind er geen ‘wormactiviteit’ plaats. De software gaat zich niet vermenigvuldigen en doorsturen zoals een echte worm, want dan is het middel erger dan de kwaal." Quarantaine Het systeem waarop het lek wordt aangetroffen wordt in eerste instantie in quarantaine geplaatst. De gebruiker krijgt beperkte rechten en kan bijvoorbeeld alleen nog maar bestanden ophalen die nodig zijn om het lek te dichten. Wordt het ophalen van die patches nagelaten, dan vindt een complete afsluiting plaats. "En dan zullen ze dus iemand van de onderhoudsdienst moeten bellen om weer aan het werk te kunnen. Al met al een erg effectieve manier om je netwerk dicht te timmeren. Een mooie demonstratie van de techniek hebben we kunnen zien toen de systemen van Compaq met die van HP werden geïntegreerd. De mensen van Compaq hadden het idee dat ze op een dichtgetimmerd netwerk bezig waren, onze worm toonde het tegendeel aan", aldus Brown. Een geïnfecteerd systeem vertoont een heel ander gedrag dan een ‘schone’ pc. Brown: "Je merkt dat aan het aantal communicatiepogingen en de servers waarheen die gaan. Een normale pc zal maar een server of vijf aanspreken en gemiddeld een keer per seconde. Een systeem met een virus zal heel veel verschillende machines trachten te bereiken en dat met een hoge snelheid. Bij Nimda-infecties hebben we wel vierhonderd connectiepogingen per seconde waargenomen. Zo’n wild systeem drukken we de kop in, door het aantal connecties per seconde in te dammen, net zoals het aantal servers waarmee contact wordt gezocht. Dat zorgt er vooral voor dat een infectie minder snel wordt verspreid, en het geeft meer tijd om tegenmaatregelen te nemen tegen het virus." Deze technieken worden doorlopend gebruikt, zonder dat de gebruikers van een netwerk er eigenlijk erg in hebben. De meeste verbindingspogingen lopen er nauwelijks vertraging door op. Brown: "We profiteren van de traagheid van de mens. Een gebruiker heeft echt niet in de gaten dat het leggen van een verbinding 130 milliseconden langer duurt dan gebruikelijk. Het valt pas op als het een paar seconden extra kost." Ongewenste effecten "Het werken met een zichzelf beveiligend netwerk is wel prettig, het kan daarnaast ook voor ongewenste effecten bij de research zorgen. Zo maken wij voor testdoeleinden gebruik van systemen die ofwel een lek bevatten of die zijn geïnfecteerd met een virus. Ik heb ook eens zo’n systeem, nadat het gedurende anderhalve dag was voorbereid voor een test, aangesloten op het netwerk. Dat doe ik dus nooit meer, al het werk werd door de beveiligingsworm direct ongedaan gemaakt. De pc werd gezien als een bedreiging en meteen afgesloten", zegt Tony Redmond, Chief Technology Officer van HP Services. Wormen en virussen worden doorgaans op hinderlijke momenten geactiveerd. "Geen enkel tijdstip is gunstig om een infectie te krijgen, maar sommige zijn echt beroerd. Neem Code Red, dat in de zomer werd gelanceerd. In de zomer hebben mensen vakantie en hebben ze geen zin om aan hun netwerken te sleutelen", meent Brown. Het aantal virussen stijgt exponentieel. Vorig jaar waren er al 4129 verschillende bedreigingen zoals wormen en virussen gesignaleerd. Het aantal ‘incidenten’, zowel grote als kleine besmettingen, bedroeg vorig jaar meer dan 137 duizend. Deze cijfers zijn afkomstig uit een onderzoek van het CERT, het Computer Emegency Response Team, een onderdeel van de Carnegie-Mellon Universiteit in de VS. De verwachting is, dat deze aantallen dit jaar alleen maar zullen toenemen. Binnen de organisatie van HP neemt de waardering voor de eigen scanworm toe met iedere nieuwe uitbraak van wormen en virussen. "Door de techniek zijn we bijvoorbeeld geheel gevrijwaard gebleven van de Blaster-worm die in augustus vorig jaar wild om zich heen sloeg", zegt Brown.