На международной конференции "РусКрипто" ученые Самарского
университета представили новую разработку - систему профилактики и
защиты интернет-сервисов от хакерских атак.
В течение года сотрудники кафедры суперкомпьютеров и общей
информатики Самарского университета проводили исследование, по
результатам которого создали систему профилактики и защиты
интернет-сервисов от взлома.
Год назад ученые установили четыре сервера-ловушки (honeypot) с
реальными IP-адресами в Самарской области, Республике Крым, Ростовской
области и Соединенных Штатах Америки. "Система ловушек - это известная с
1990 годов технология. Она предусматривает установку на абсолютно
пустые сервера программного обеспечения, которое имитирует работу десяти
интернет-сервисов, наиболее популярные среди пользователей", -
объясняет профессор кафедры суперкомпьютеров и общей информатики
Самарского университета Андрей Сухов.
Затем на протяжении года ученые следили за различными видами атак на
расставленные ловушки (сканирование портов, попытки доступа к
web-серверам, к сервисам IP-телефонии, к электронной почте, к управлению
базами данных, попытками перехватить управление операционной системой),
затем систематизировали их и в итоге создали "черный список" из
подозрительных IP-адресов по каждому сервису. Чтобы попасть в "черный
список" надо соответствовать двум критериям: "отметиться" минимум на
двух серверах-ловушках и трижды атаковать сервис (три прозвона или три
попытки подобрать пароль). Так, например, в "нападении" на сервис
IP-телефонии за год "засветились" 1063 IP-адреса.
Для защиты интернет-сервисов от хакеров ученые вуза предложили
провести профилактику за счет следующего алгоритма: с помощью
программно-конфигурируемых сетей распространить полученную базу данных с
адресами злоумышленников.
"Благодаря программно-конфигурируемой сети, мы можем "вакцинировать"
её составленной нами базой данных подозрительных IP-адресов, после чего
она сама сможет анализировать трафик, определять способы атаки с адресов
из "черного списка" и, в итоге, заблокирует действия злоумышленников", -
говорит доцент кафедры суперкомпьютеров и общей информатики Евгений
Сагатов.
Более того, предложенный учеными алгоритм позволяет передавать базы
данных вышестоящим провайдерам по защищенным каналам. А также
устанавливать защитные фильтры от хакеров на два уровня выше провайдера в
архитектуре Сети.
Этот комплекс мер поможет администратору сети вовремя обнаружить не
только уже взломанную рабочую станцию, но и предотвратить саму попытку
взлома.
"Здесь уместна такая аналогия: можно ловить преступника по следам,
оставленным на месте преступления, а можно заранее предотвратить само
преступление, - говорит Андрей Сухов. - Ведь к сети любой организации
подключен ряд компьютеров, на котором в фоновом режиме функционируют
многочисленные системные приложения и пользователи обычно не обращают
внимание на их работу. Злоумышленник же ищет компьютеры, на которых эти
системные приложения открыты и пытается проникнуть. Он "прозванивает"
машину, то есть отправляет пакет данных с запросом, тем самым узнает,
есть ли на компьютере нужная служба и открыта ли она для внешнего
воздействия. Пользователи даже не замечают, что их компьютер уже взломан
и превращен в источник для взлома следующих жертв или для рассылки
спама. Если же провести определенную профилактику, то можно вычислить,
откуда идет атака и принять защитные меры".
Источник: Официальный сайт Самарского университета