[FWD] "В будущем каждый получит шанс на 15 минут славы" Энди Уорхол [2/

Alexey Haritonov написал(а) к All в Feb 04 00:45:26 по местному времени:

Subject: [FWD] "В будущем каждый получит шанс на 15 минут славы" Энди Уорхол [2/

=============================================================================
* Переслал Alexey Нaritonov (2:5015/10.50)
* Обл. : SU.CM (SU.CM)
* От : Igor Dikshev, 2:5020/400 (Четверг, 05 Февраля 2004г. 18:17)
* Кому : All
* Тема : "В будущем каждый получит шанс на 15 минут славы" Энди Уорхол [2/2]
=============================================================================
From: "Igor Dikshev" <dik@isf.rwth-aachen.de>

> Продолжение

Это дает результат при избыточности при сканировании, когда многие вирусы
могут зондировать некую общую область до тех пор, пока не будет обнаружена уже
зараженная машина. Тем не менее, это относительно небольшая потеря, и быстрое
распространение червя вызовет относительно небольшие потери в эффективности.
Наилучшая эффективность сканирования должна достигаться при взаимодействии
червей друг с другом. Такой способ совместной работы должен сделать червя
настолько заразным, насколько возможно, и обеспечит полное инфицирование за 5
минут.

Обычно червь типа Code Red стартует довольно медленно, и пока не достигнут
определенный уровень, случайное зондирование неэффективно. Поскольку наш червь
комбинирует эффекты случайного и детерминированного зондирования, скорость
должна увеличиваться.

Скоординированные черви и черви, которые эксплуатируют струкутру сети,
разделяя области действия, должны быть еще быстрее. Фишка заключается в том,
что малейшее изменение чисто случайного заражения в сторону скоординированной
стратегии должно приводить к очень высокой заразности. Имея червя, который
распространяетмя в пределах часа, это изменение даст ускорение до срока между
5 и 15 минутами.

Приложение 2. Возможные меры защиты.
К сожалению, черви Уорхоула настолько быстры, что любое человеческое
вмешательство в защиту неминуемо провалится. Переход на IPv6 должен работать
чудесно, поскльку это предотвратит случайное сканирование как жизнеспособное
средство поиска новых хостов. Существует множество таких вариаций в
приложениях, что отдельные особенности могут помочь отдельным машинам
сопротивляться распространению таких червей.

Использование программистами для написания серверов языков с проверкой
переполнения границ буферов должно примерно наполовину повысить безопасность.
Но это не панацея, т.к. чевь Уорхоула не обязательно использует переполнение
буферов.

Один фактор, который может уменьшить распространение, - это способность
роутеров обрабатывать ARP-запросы. Это приведет к тесноте для червя, что
замедлит его распространение. У меня нет конкретных оценок, насколько это
повлияет.


-------------------------------------------------------------------------------
-

Спасибо Майклу Константу (Michael Constant) за помощь при разработке
стратегий, использованных этим червем.


-------------------------------------------------------------------------------
-

В настоящее время я пишу абстактный эмулятор для моделирования заразности
абстрактного червя Уорхоула с различными параметрами. Я НЕ ПИШУ САМОГО ЭТОГО
ЧЕРВЯ И НЕ СОБИРАЮСЬ ЭТОГО ДЕЛАТЬ! "У меня нет необходимости уничтожать мир,
чтобы доказать свою точку зрения".

Моя математика достаточно приблизительна, но позволяет оценить, что червь
распространяется по геометрическому закону. Но симулятор подтвердил это. Я
допишу первоначальный код симулятора в течение нескольких дней, но
предварительные данные говорят, что достаточно примерно 12 минут 45 секунд для
1М уязвимых хостов и до 7 минут 30 секунд если потенциальных хостов только
500К.


-------------------------------------------------------------------------------
-

Почему я поддерживаю эту страницу.

К сожалению, результаты слишком просты. Любой более-менее умный программист,
кто думает над этой проблемой, придумает протейшее решение для
скоординированного червя, который разделяет рабочее пространство.
Скоординированный червь очень быстр, но требует связи между разными червями.
Вот почему скоординированный червь НЕ ИМЕЕТ всего, что ему необходимо для
легкого быстрого распространения.

Во-вторых, даже существующие черви, использующие от 12 часов до суток, все
равно слишком быстры для большинства человеческих мер. Посмотрите на
продлжающееся распространение вариантов Code Red через примерно 3 недели после
активации. Изменение этого времени до часа должно сильно ухудшить ситуацию.

Наконец, лично я являюсь сторонником доктрины полной открытости информации,
особенно когда "плохие парни" (продвинутые криминальные программисты) могут
легко получить те же результаты без документации. Это важно для нас, чтобы мы
могли увидеть и оценить реальную угрозу. Умолчание никому не поможет.

Мы всегда знали после червя Морриса, что связанные между собой в гомогенную
сеть компьютеры потенциально уязвимы для быстро перемещающихся активных
червей. Это важный результат, потому что он напоминает нам, НАСКОЛЬКО мы сами
уязвимы. Защита с участием человека не может остановить быстрого активного
червя.

Я не удалю эту страницу.


-------------------------------------------------------------------------------
-

Все права на данный текст принадлежат Николасу Ц. Уиверу
(nweaver@cs.berkeley.edu). Он может быть воспроизведен только полностью и с
согласия автора.

Термин "Червь Уорхоула" - это оригинальный термин, придуманный автором.

Если вы скопируете куда-то эту статью, сообщите мне, чтобы я знал - куда. Мне
интересно знать, как моя статья распространяется.


-------------------------------------------------------------------------------
-
Перевод: Constantin E. Climentieff aka DrMAD, 2003 (выполнен с любезного
разрешения автора)

http://crader.narod.ru email: redarc@trojan.ru

-+- ifmail v.2.15dev5.3
+ Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
=============================================================================

Привет All!


До свидания, Alexey.

... NP:-[DEAD!]──[WWW.SVALKA.TK]──[ICQ: 324575753]
--- [GoldED+/W32 1.1.5-040120]-[Radius]-[IDC-5614BXL/VR+]