Alfonso Maruccia

SANS Institute ripensa la difesa anti-cracker

Blacklist di indirizzi IP malevoli create attraverso il confronto tra i log dei firewall DShield. Chi abbonda in segnalazioni, finisce fuori: l'esatto opposto di quanto fa Google con il suo Pagerank

Roma - Suscita interesse Highly Predictive Blacklisting, progetto del SANS Institute pensato per implementare una protezione di rete più efficace, affidabile e senza inutili elementi di ridondanza ad appesantirne il funzionamento. Una protezione che ha alla sua base una sorta di PageRank in versione anti-malware.

Esattamente come il PageRank identifica la popolarità di una pagina web in relazione ai link che puntano a essa, così HPB dovrebbe generare una lista nera di IP usati da hacker, cracker e malware writer partendo dalla correlazione esistente tra gli indirizzi bloccati dai firewall dei partecipanti a DShield.

"Come in una web query - si legge sulla pagina informativa di HPB - i log dei partecipanti a DShield vengono incrociati e comparati alla ricerca di sovrapposizioni tra le fonti di attacco che essi contengono. Qualunque indirizzo attaccante contenuto in HPB viene selezionato promuovendo quegli indirizzi che vengono individuati da altri partecipanti".
In sostanza, come già detto, i log dei firewall vengono comparati e le porte che hanno collezionato un maggior numero di attacchi finiscono in una blacklist HPB condivisa tra coloro che hanno inviato log simili.

Un sistema che, tra le altre cose, dovrebbe permettere di evitare inutili ridondanze nelle protezioni di rete come quella sulla porta 1434, bersaglio prediletto dei cracker, usata per la gestione dei database SQL Microsoft che è probabilmente già bloccata dagli ISP e non necessita quindi di ulteriori blocchi a monte del traffico di rete.

HPB verrà presentato ufficialmente la prossima settimana nel corso del 17esimo Usenix Security Symposium. Nel mentre, l'algoritmo alla base delle nuove blacklist viene descritto nel rapporto tecnico disponibile a questo indirizzo.

Alfonso Maruccia
6 Commenti alla Notizia SANS Institute ripensa la difesa anti-cracker
Ordina
  • Il fatto e' che un sistemino di questo tipo diventa un sistema di cracking a sua volta, ottimo per fare DoS. Faccio un attacco spoofando un po' di indirizzi legittimi su piu' server, quegli indirizzi finiscono nel db e io non ho piu' connessioni da (e forse neanche per) quelle destinazioni. Potrebbe essere qualche motore di ricerca, la mia banca ecc.

    Certo possiamo lavorare a liste "MAI" bloccate, ma che lavoraccio.

    Comunque non occorre scomodare google, anche le RBL della posta implementano concetti simili.
    non+autenticato
  • Su linux già questo sistema viene usato da un pezzo con denyhosts per proteggere la porta ssh.
    Se invece che rifare il lavoro di quei bravi sviluppatori, scrivessero ulteriori plugin per questo software farebbero molto meglio!
  • questa funzionalità esiste un pò d'appertutto e per tutti i sistemi operativi (già, anche in windows con IPSEC, incrediibiiie vero?)...
    L'articolo non parla di questo ma di una cosa un pò più complessa....

    Rileggitelo per bene va, prima di iniziare il solito thread "In linux questa funzionalità esiste già da 10000000000 di anni)". PI ne è pieno e sono cose che la maggior parte delle persone che bazzicano sto forum sanno giàCon la lingua fuori
    non+autenticato
  • - Scritto da: katun79
    > Su linux già questo sistema viene usato da un
    > pezzo con denyhosts per proteggere la porta ssh.
    >
    > Se invece che rifare il lavoro di quei bravi
    > sviluppatori, scrivessero ulteriori plugin per
    > questo software farebbero molto
    > meglio!

    uff. è proprio vero che anche il mondo linux è ormai pieno di troll. E' il prezzo da pagare (e che si sta pagando PROFUMATAMENTE), per arrivare alla "massa" (senza offesa e la critica non è diretta a te, capita a tutti di dire una cavolata gigantesca).. Ma a volte mi chiedo, se non sarebbe meglio continuare lo sviluppo non in direzione HOME ma rimanere in un target molto più ristretto, nel mercato di server & co, dove Microsoft non è mai stata, e lasciare a qst'ultima il mercato "desktop", tanto da lì non la sposterà MAI NESSUNO. ed è giusto così, perchè un sistema come Win permette di navigare giocare scrivere documenti in facilità e il 90% della gente non si vuole "sbattere" per reimparare tutto daccapo. Poi Win te lo fanno pagare per forza, qndi il guadagno non c'è. Che poi escano 4 exploit e 4 virus ogni ora, non conta, al max ti toccherà formattare una volta di più..
    non+autenticato
  • "uff. è proprio vero che anche il mondo linux è ormai pieno di troll. E' il prezzo da pagare (e che si sta pagando PROFUMATAMENTE), per arrivare alla "massa" (senza offesa e la critica non è diretta a te, capita a tutti di dire una cavolata gigantesca).. Ma a volte mi chiedo, se non sarebbe meglio continuare lo sviluppo non in direzione HOME ma rimanere in un target molto più ristretto, nel mercato di server & co, dove Microsoft non è mai stata, e lasciare a qst'ultima il mercato "desktop", tanto da lì non la sposterà MAI NESSUNO. ed è giusto così, perchè un sistema come Win permette di navigare giocare scrivere documenti in facilità e il 90% della gente non si vuole "sbattere" per reimparare tutto daccapo. Poi Win te lo fanno pagare per forza, qndi il guadagno non c'è. Che poi escano 4 exploit e 4 virus ogni ora, non conta, al max ti toccherà formattare una volta di più.."

    Tu invece non sei un troll? Hai scritto un post completamente OT e con la solita discussione win contro linux.

    Comunque tornando alla notizia, la ritengo molto interessante e penso che l'approfondirò con calma. Progetti di questo tipo vanno pubblicizzati, perchè più sono i partecipanti migliori sono i risultatiOcchiolino
    non+autenticato
  • L'algoritmo di propagazione delle blacklist sembra in effetti un tentativo di scopiazzare google, ma non mi è chiaro perchè l'abbiamo fatto così. Se N network ricevono un attacco da un certo IP/classe/AS, è saggio che gli altri blocchino il traffico da lì proveniente, senza preoccuparsi se questi N network siano ad essi "simili", come invece fa questo algoritmo. Non so se l'abbiano fatto per ridurre il numero di IP bloccati, ma non era più semplice che questi dati venivano comunicati ad un server centrale (o ad una rete di peer) che di fronte all'attacco su N siti provveda al blocco per opportuni valori di N, piuttosto che introducendo un concetto assai strano di similarità di network?
    non+autenticato