Microsoft õppis rämpspostisaatjaid jälitama

spamAnonüümsus internetis võib olla nii hüve kui ka needus, sõltuvalt sellest, kummal pool barrikaade – kas rämpspostisaatjate, viiruskirjutajate ja teiste küberkurjategijate või internetiantipoodide ohvrite ehk seaduskuulelike kodanike pool – arutleja on. Nagu tegelikult iga tehnoloogia (mitte ainult infotehnoloogia), on oma IP-aadressi ja teiste üleilmsesse võrku jäetud jälgede varjamine anonüümsete puhverserverite kaudu kahe teraga mõõk. Kuid tasakaal igavesti ei säili ning üks võitlevast osapoolest – kas end kaitsvad häkkerid või alalõpmata nende poolt naeruvääristatud eriteenistused koos elektroninfotööstuse hiiglastega - saavutab ülekaalu, olgugi et ainult prototüübi näol.

Hispaania linnas Barcelonas peaks sellel nädalal toimuva ürituse SIGCOMM 2009 raames ilmuma artikkel, kus kolm Californias Mountain View´s paikneva Microsofti uuringukeskuse töötajat uurivad eri masti internetikelmide avastamist takistava anonüümse barjääri eemaldusvõimalust. Kolm võrgukelmide rahurikkujat identifitseerisid uue tarkvara abil kahjurkoodi levitamise eest vastutavad masinad, mis tungisid isegi läbi hostide IP-aadresside kõrgest muutmissagedusest. Redmondi korporatsiooni liige Yinglian Xie räägib: "Me püüame määrata kindlaks rünnakute eest vastutava hosti. Meil tuleb jälgida mitte identifikaatoreid, vaid masinaid, millega need ühendatud on." Süsteemi prototüüp HostTracker peab aitama ehitada parimat kaitset ründajate ja rämpsposti levitavate firmade eest. Infoturbeorganisatsioonid saavad võimaluse saada täiuslikumat ettekujutust internetisegmentidest, mida on parem blokeerida. Küberkriminaalsed ringid on omakorda sunnitud tegema suuri ajalisi ja finantskulutusi enda varjamiseks internetis.

Yinglian Xie ning tema kolleegid Fang Yu ja Martin Abadi analüüsisid igakuist e-postiteenuste pakkujate andmemahtu (330 GB), üritades määratleda rämpsposti saatmispunkti. Selle allikate jälgimiseks uurisid uurijad üle 550 mln kasutajate identifikaatori (ID), 220 mln IP-aadressi ja selliste sündmuste nagu teate saatmine ja kasutajakontode autoriseerimine ajamärke. Teadete jälgede avastamine vajab kasutajakonto identifikaatori ja hosti, mille kaudu kasutaja e-postiteenusega ühendust sai, vahelise side taastamist. Sellel eesmärgil võrdlesid teadlased erinevatest hostidest saadud ID-sid teatud ajavahemikuga. Seejärel analüüsis HostTracker andmeid ja eemaldas konfliktid. Näiteks oli ühe IP-aadressi all vahest üle ühe kasutaja või ühel kasutajal oli kattuval ajavahemikul mitu ID-d. HostTracker sidus andmed omavahel puhverserveri kindlaksmääramiseks, mille kaudu ilmus ühe IP-aadressi all mitu masinat ja sai ühendust legitiimse e-postiteenusega.

Lisaks leidsid uurijad viisi, kuidas lisada nn mustadesse nimekirjadesse automaatselt aadressid, kust pärineb kompromiteeritud võrguliiklus. Kasutades seda metoodikat simuleerimistingimustes, blokeerisid arendajad kahjurliiklust 5%-lise ebatäpsusega ehk viis aadressi sajast olid legitiimsed. Lisainfo kohusetundlike kasutajate identifitseerimiseks alandas näitaja 1%-ni. Tulemused annavad tunnistust, et tarkvara HostTracker on kõlblik DDoS-tüüpi (distributed denial of service, hajutatud teenusetõkestamise rünne) rünnakute ja rämpsposti levitavate firmade vastaste kaitsemehhanismide täiustamiseks, arvab firma Damballa uuringute ja arenduste asepresident Gunter Ollmann. Eksperdi arvates aitab selle tehnika kasutamine leida suure genereeritava liiklusega botnet´e, samal ajal kui selliste rünnakute vastu, nagu paroolide vargus ja pankadele mõeldud troojaprogrammide juurutamine, pole see metoodika eriti efektiivne.


Allikas: 3DNews



Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.
  • Ühtegi kommentaari ei leitud