211service.com
Microsoft Team spårar skadliga användare
Anonymitet på Internet kan vara både en välsignelse och en förbannelse. Även om förmågan att gömma sig bakom anonyma proxyservrar och snabbt föränderliga Internetprotokoll (IP)-adresser har möjliggjort ett friare yttrande i nationer med repressiva regimer, tillåter samma tekniker cyberbrottslingar att dölja sina spår och skicka ut skadlig kod och spam för legitim kommunikation.
I ett papper som presenteras nästa vecka kl SIGCOMM 2009 i Barcelona, Spanien, demonstrerar tre forskare från Microsofts forskningscenter i Mountain View, CA, ett sätt att ta bort anonymitetens sköld från sådana skumma angripare. Med hjälp av ett nytt mjukvaruverktyg kunde de tre datavetarna identifiera de maskiner som är ansvariga för skadlig aktivitet, även när värdens IP-adress ändras ofta.
Vad vi verkligen försöker komma fram till är värden som är ansvarig för en attack, sa Yinglian Xie , en medlem av Microsoft-teamet. Vi försöker inte spåra dessa identifierare utan associerar dem med en viss värd.
Prototypsystemet, kallat HostTracker, kan resultera i bättre försvar mot onlineattacker och spamkampanjer. Säkerhetsföretag skulle till exempel kunna skapa en bättre bild av vilka internetvärdar som bör blockeras från att skicka trafik till sina kunder, och cyberbrottslingar skulle ha svårare att kamouflera sina aktiviteter som legitim trafik.
Xie och hennes kollegor, Fang Yu och Martin Abadi, analyserade en månads data – 330 gigabyte – som samlats in från en stor e-postleverantör, i ett försök att avgöra vilka användare som var ansvariga för att skicka ut skräppost. För att spåra ursprunget till flera skräppostutbrott studerade forskarna register inklusive mer än 550 miljoner användar-ID, 220 miljoner IP-adresser och en tidsstämpel för händelser som att skicka ett meddelande eller logga in på ett konto.
Att spåra ursprunget till meddelanden – en nyckeluppgift för att spåra skräppost och andra typer av internetattacker – involverade att rekonstruera relationer mellan konto-ID:n och de värdar från vilka användare anslutit sig till e-posttjänsten. För att göra detta klumpar forskarna ihop alla ID:n som nås från olika värdar under en viss tidsperiod. HostTracker-mjukvaran kammade sedan igenom dessa data för att lösa eventuella konflikter. Till exempel, ibland verkade mer än en användare komma från samma IP-adress eller så hade en enda användare flera ID-adresser under överlappande tidsperioder.
HostTracker löser konflikterna genom att korsrefera data för att identifiera proxyservrar, vilket gör att flera värdar kan visas som en enda IP-adress, och för att avgöra när en gäst använde en legitim värd. Det faktum att vi kan spåra skadlig trafik till själva proxyn är en förbättring eftersom vi kan peka ut det exakta ursprunget, säger Xie.
Forskarna skapade också ett sätt att automatiskt svartlista trafik från en viss IP-adress, när HostTracker-systemet har bestämt att värden på den adressen är äventyrad. Genom att använda den här metoden i simulering kunde forskarna blockera skadlig trafik med en felfrekvens på fem procent – med andra ord, 5 av 100 IP-adresser klassificerade som skadliga var faktiskt legitima. Genom att använda ytterligare information för att identifiera bra användarbeteende minskade den falska positiva frekvensen till mindre än en procent.
Resultaten tyder på att HostTracker skulle vara ett bra sätt att förfina det nuvarande sättet att försvara sig mot distribuerade denial-of-service-attacker och spamkampanjer, säger Gunter Ollmann, vice vd för forskning och utveckling på Damballa , ett företag som hjälper företag att hitta och eliminera komprometterade värdar i ett datornätverk.
Att använda den här tekniken kommer att hjälpa till att hitta botnät som har en hög trafikfrekvens, som spamkampanjer, DDoS-attacker och kanske genomklicksattacker, säger Ollmann. Andra attacker, som lösenordsstöld och banktrojaner, där attacken är mer värdcentrerad – den här typen av teknik skulle inte vara lika effektiv.
Xie erkänner att även om tekniken är användbar för att skapa listor över värdar att spåra, kan den vara mindre användbar för brottsbekämpande myndigheter som försöker identifiera angriparna bakom onlinebrottslighet. Den ansvarighet vi talar om är inte domstolsansvar, säger hon. Vi vill skilja de två begreppen åt. Ansvaret som vi talar om är förmågan att identifiera värdarna.