Super-orm kan lamme Internett på ett kvarter

Forskere i California viser hvordan det kan lages en orm for å lamme hele Internett på ett kvarter.

En gruppe forskere i California, ledet av Vern Paxson ved ICSI Center for Internet Research (en avdeling under International Computer Science Institute med tilknytning til University of California, Berkeley), har offentliggjort en rapport der de går gjennom ulike nye og uprøvde - men mulige - spredningsmetoder for ormer gjennom Internett. Rapporten er publisert under tittelen How to 0wn the Internet in Your Spare Time.

Rapporten skisserer flere metoder som ormer kan bruke for å spres gjennom Internett og smitte et stort antall servere med bakdører som gir ormene full kontroll over dem. Rapporten tar ikke opp hvilke sårbarheter som skal utnyttes, men konsentrerer seg utelukkende om spredningsmetoder.

To typer spredningsmetoder vurderes som spesielt interessante - og urovekkende:

En type går ut på å få en orm ut til flest mulige servere på kortest mulig tid, og så sørge for at ormen av seg selv stanser all videre spredningsforsøk når dette er gjort, og går inn i en stille periode før den vekkes til live av de som kontrollerer den. En annen type legger mindre vekt på tid, men sørger for at selve spredningen foregår så diskret at overvåkningsverktøy ikke kan registrere at det skjer noe unormalt.

Erfaring fra blant annet Nimda og Code Red viser at ormer smitter eksponentielt over tid. Det innebærer at det tar uforholdsmessig lang tid å smitte de første 10.000 ofrene. For å få fart på denne første fasen, foreslår forskerne en metode kalt "hit-list scanning". Det innebærer å forsyne ormen med en liste over et stort antall servere, for eksempel 10.000 til 50.000, som kan antas å være sårbare for ormens angrepsmetode. Ved hvert smittetilfelle sendes halvparten av hit-listen videre til kopien. Selv om bare 10 til 20 prosent av maskinene på den opprinnelige hit-listen er sårbare, ville alle de sårbare serverne være smittet i løpet av noen få sekunder. Når hit-listen er brukt opp kan videre eksponentiell spredning skje ved å skanne vilkårlig valgte internettadresser.

Hit-lister kan hentes fra en rekke kilder, som diskret portskanning over tid, offentlige oversikter gitt av for eksempel Netcraft, eller ved å lytte til meldinger fra maskiner infisert av tidligere ormer som fortsatt prøver å spre seg.

Forskerne foreslår videre en metode for å effektivisere spredning gjennom vilkårlig skanning.

Vilkåret for denne metoden, kalt "permutation scanning", er at ormen er i stand til å oppdage når den prøver å smitte en allerede smittet maskin. Idéen er at når dette skjer, kan ormen anta at en annen kopi allerede har prøvd seg, eller snart vil prøve seg, på nærliggende adresser. Den hopper følgelig til et nytt punkt - en ny permutasjon - i algoritmen som genererer adressene den skal prøve seg på.

På denne måten vil færrest mulig kopier kaste bort tid på å forsøke å smitte allerede smittede maskiner.

Ved å kombinere hit-liste og permuterende adressevalg, skapes det forskerne kaller en "Warhol orm". Forskerne beregnet seg fram til at en slik orm kunne infisere flere hundre tusen maskiner i løpet av et kvarters tid. Beregningene ble bekreftet av en simulering.

Warhol-ormer kan gjøres mer effektive ved å la dem avslutte alle videre smitteforsøk etter en viss tid, eller etter å ha buttet på et visst antall allerede smittede servere. Grafen nedenfor viser en simulering av denne varianten.



Poenget her er at smitteforsøkene dør ut kort tid etter at alle de sårbare maskinene er smittet, og man vil ha store problemer med å oppdage hvilke maskiner det er installert en bakdør på.

Med spesielt utstyr hos angriperen, vil en orm kunne skanne hele adresserommet på Internettet i løpet av et par timer, og potensielt installere bakdører på flere millioner servere.

Forskerne mener dette er et aktuelt scenario i en krigssituasjon.

Enda en metode som er vurdert i rapporten, går ut på å benytte seg av såkalte "peer to peer" nettverk til å spre svært diskrete og sakte infiserende ormer. En simulering tyder på at denne metoden vil kunne nå noen millioner servere i løpet av en måned.

KaZaA-tjenesten beskrives som spesielt godt egnet til denne metoden.

Rapporten understreker at ingen er beredt på å stå i mot slike angrep. Den peker på det åpenbare, at med kontroll over én million Internett-servere, kan en angriper forårsake store skader, som å lansere uimotståelige distribuerte tjenestenektangrep i stor stil og lese eller forfalske uante mengder følsomme data. Og med metodene som rapporten skisserer, kan det godt tenkes at noen vil kunne installere bakdører på en eller flere millioner servere. Om noen kan ha gjort det allerede, er et spørsmål rapporten ikke reiser.

En av konklusjonene i rapporten er at det må opprettes et senter som kan samordne arbeidet med mottiltak som samfunnet må utvikle for å beskytte seg.

Til toppen