Vilma
-7 °C
4 °C

Biológiai módszerekkel a digitális kórokozók ellen

2004.02.20. 08:57
Technológia és biológia gyorsütemű konvergenciája az utóbbi évek egyik meghatározó trendje. Merész jóslatok szerint a jelenség nemcsak szakterületeket, hanem magát az életet is újraértelmezi. A számítástudományban hamar elterjedt a biológiai látásmód. Emergencia, önszerveződés, koevolúció, reprodukció - a szerves életből ellesett modelleket egyre gyakrabban alkalmazzák computeres közegben.
Noha az első számítógépes vírust még valamikor a nyolcvanas években írták, a "digitális kórokozó" kifejezés csak az ezredfordulóra honosodott meg. Vírusok mellett, trójaiakat, levélszemetet és egyéb, bitekbe-bájtokba kódolt kártevőket értünk rajta. Hogyan védekezzünk ellenük, miként verje vissza permanens támadásukat "digitális immunrendszerünk"? A trendnek megfelelően, természetesen biológiai módszerek utánzásával.

Cracker-támadásokat és vírusokat előrejelző szoftver

A tűzfalak és a vírusirtók csak a már ismert kórokozók, illetve a mögöttük álló crackerek ellen hatékonyak, míg az újak órák leforgása alatt végigsöpörhetnek a világhálón.

Eric Bonabeau cége, az Icosystem (Cambridge, Massachusetts) jövőbeli támadásokat prognosztizáló szoftvert fejlesztett. Az eddigiek alapján, azokat evolválva vonja le következtetéseit. A crackerek által használt szkriptek mutációjával olyan támadó rutinokat generál, melyeket - tanulás után - felismer a biztonsági rendszer. A program jelenlegi változatát az amerikai hadsereg számítógépes bűnözést vizsgáló parancsnokságával közösen tesztelik. Egyelőre a rosszindulatú behatolókon, de a technika ugyanúgy alkalmazható vírusokra is.

Köztudott, a crackerek biztonsági réseken, programhibákból (bugs) profitálva kaparintják meg a távoli (remote) számítógép feletti kontrollt. A hálózatok ugyan használnak gyanús tevékenységet (például adatcsomag érkezését egy szokatlan bemeneti kapuhoz) kimutató forgalomelemző programokat, ám a támadásokat általában annyira cselesen hajtják végre, hogy ezek teljesen összezavarodnak.

A jövőbeli stratégiákat előrejelző behatolás-detektáló a szükséges ellenlépés - fogalmazták meg az Icosystem fejlesztői, s így is jártak el. Megközelítésük a védekező eszközök új, "okosabb" generációját vetíti előre. A rendszer - a cracker-kódok által létrehozott fájlok, mappák átnevezésével, különböző programok részeinek a kombinálásával, stb. - szisztematikusan a legkomplexebb, leggyilkosabb permutációkká evolválja, alakítja át az elterjedt crackelő-szoftvereket.

"Rengeteg különböző mutációt és rekombinációt próbál ki, ám nyelvtanilag és szintaktikailag valamennyi korrekt" - nyilatkozta Bonabeau. Előbb-utóbb azonban emergens jelenségre leszünk figyelmesek: "az alapötlet a szkriptek evolválásának folytatása, és idővel kétségtelenül új támadási formák bukkannak majd fel." Központilag generálják az eddig ismeretlen támadó stratégiákat, majd "távirányítva" aktualizálják a computereket és hálózatokat óvó behatolás-detektáló szoftvert. Az eredmény: még ki se fejlesztették, de a védelem máris felismeri a kártékony mintákat.

Genetikai eljárással azonosított levélszemét

Karl Jacob, a Cloudmark (San Francisco) elnöke az átlagos e-mailtől eltérő génekkel rendelkező élőlény(ek)ként, a világhálóval koevolúciós viszonyban lévő emergens jelenségként kezeli a levélszemetet, a "számítógépes vírusok legtehetségesebb unokatestvérét." Találó hasonlattal él: szűrőink és védekező programjaink ellenére, bámulatra méltóbban szaporodnak egy-egy manhattani lakás csótányainál. Mint a mémek?

Hiába keresünk rá ismert kereskedelmi portékákra, hiába kutatjuk a gyanús szó statisztikai előfordulását, például a Viagrát írhatják V.ia_gr^#a-nak, V_i_//gr.a-nak, és így tovább, végtelenek a lehetőségek. Mi felismerjük, szűrőink kevésbé, vagy egyáltalán nem.

A spammerek felhasználják, többszörös mutációnak vetik alá az e-mail géneket; az üzenet tartalmának, eredeti rendeltetésének az összezagyválásával teremtenek újakat, másokat. Eszkábált fejléceket, ismétlődő betűket, oda nem illő szimbólumokat és kihagyásokat (character histogram osztály), zavaros, korábbi kommunikációra hivatkozó idézeteket mellőző, halandzsa levéltörzseket_

A Cloudmark hálózathoz kapcsolódó hétszázezer computer az emberi géntérképhez - a Humán Genom Projekthez - használt biotech (osztályozó) módszerekről mintázott, teljesen automatizált, minimális adminisztrátori munkát igénylő Authority segítségével naponta mintegy 130 millió spam-et csíp el, s elemez. Háromszáznál több jellegzetes gént azonosítottak eddig. Jacobs szerint 95-98 százalékos pontossággal dolgoznak. Ha téved a rendszer, a beépített "Evolúció-motor" (Evolution Engine) a gyanús géneket átalakítva pontosítja állományukat (a genomot), a félreértelmezett levelet pedig visszaküldi a szűrőig, míg az újraelemzés után be nem sorolják a valóban korrekt e-mailek közé.

Az Ontario-tó és Toronto melletti Markham-székhelyű Net Integration Technologies Linux-változatát, a teljesítmény és biztonság egyensúlyi állapotára törekvő, "öngyógyító" (self-healing) Nitixet az autonóm számítástechnika (autonomic computing) jegyében dolgozták ki. Biológiai alapokon, a központi idegrendszer testszabályozó mechanizmusát másolva. A megszokott hálózati szolgáltatásokon túl, az egymással szoros kapcsolatban álló kontrolprogramok (menedzserek) bonyolult rendszert alkotnak.

Szemben a hagyományos szerverekkel, a Nitix nem dobja vissza a behatolni igyekvők érvénytelen email-jelszavát. Az azonosító-menedzser feljegyzi a sikertelen próbálkozásokat, és arra utasítja a tűzfal-menedzsert, hogy minél lassabb válaszokkal bénítsa le a gyanús találgatót, így adva újabb esélyt azoknak, akik tényleg elfelejtették a jelszavukat.

A vírusok ellen szintén egyedi módon védekezik. Például a hálózat valamelyik gépe fertőzött, és a digitális kórokozó kártékony kódot tartalmazó URL-en keresztül támadja a többi computert. A 404-et és a hasonló üzeneteket a szerver a WWW-menedzserhez továbbítja. Ha a program furának találja az URL-t, a tűzfal-menedzserre bízz az adott honlap izolálását. Amennyiben ugyanazok a vírusjegyek más gépeknél szintén kimutathatók, intézkedik: az egész forgalomnak a lassító, de védő tűzfalon keresztül kell bonyolódnia. Elkezdődik az "öngyógyítási" folyamat.