Microsoft научилась выслеживать спамеров

Фотография - Microsoft научилась выслеживать спамеров

Анонимность в интернете может быть как благом, так и проклятием – в зависимости от того, по какую сторону баррикад, разделяющих спамеров, вирусописателей и других киберпреступников и законопослушных граждан – жертв своих сетевых антиподов.

280 0

Анонимность в интернете может быть как благом, так и проклятием – в зависимости от того, по какую сторону баррикад, разделяющих спамеров, вирусописателей и других киберпреступников и законопослушных граждан – жертв своих сетевых антиподов.

Как любая, не только информационная, технология, возможность скрытия своего IP-адреса и других следов во всемирной паутине через анонимные прокси-серверы – это палка о двух концах. Но баланс не может сохраняться вечно, и одна из противоборствующих сторон в лице обороняющихся хакеров или вечно осмеиваемых ими спецслужб на пару с гигантами электронно-информационной индустрии должна взять верх, пусть хотя бы в виде прототипа.

В статье, планируемой к опубликованию на следующей неделе в рамках мероприятия SIGCOMM 2009 в Барселоне, Испания, трое сотрудников Исследовательского центра Microsoft (Microsoft research center), расположенного в Маунтин-Вью, Калифорния, рассматривают путь устранения анонимного барьера, заграждающего разномастных сетевых мошенников от обнаружения. Используя новое программное обеспечение, трое нарушителей спокойствия киберзлодеев смогли идентифицировать машины, ответственные за распространение вредоносного кода, пробившись даже сквозь высокую частоту смены IP-адресов хостов.

Ученые проанализировали месячный объем данных размером в 330 Гб, источниками которых выступили провайдеры e-mail, в попытке определить точку отправки спама. Чтобы отследить его истоки, исследователи изучили более 550 млн идентификаторов (ID) пользователей, 220 млн IP-адресов и временные отметки таких событий, как отсылка сообщения и авторизация в учетной записи. Обнаружение следов сообщений требует реконструкции связей между идентификатором учетной записи и хостом, с которого пользователь подключался к сервису электронной почты. С этой целью ученые сопоставили ID, полученные с разных хостов, с определенным временным периодом. Программа HostTracker затем проанализировала данные, устраняя конфликты. Например, иногда более одного пользователя появлялись под одним IP или один пользователь имел несколько идентификаторов в перекрываемых промежутках времени. HostTracker связала данные между собой для определения прокси-серверов, через которые несколько машин появлялись под одним IP и подключались к легитимному серверу e-mail.

Исследователи также нашли путь автоматически заносить в так называемые блэк-листы (или "Черные списки") адреса, с которых идет скомпрометированный трафик. Используя методику в условиях симуляции, разработчики смогли заблокировать вредоносный трафик с погрешностью в 5%, то есть каждые 5 адресов из 100 были легитимными. Дополнительная информация для идентификации добросовестных пользователей снизила показатель до 1%. Результаты свидетельствуют, что ПО HostTracker пригодно для совершенствования защитных механизмов от атак типа DDoS (distributed denial of service, распределённая атака типа "отказ в обслуживании") и кампаний по рассылке спама, как полагает вице-президент исследований и разработок компании Damballa Гюнтер Оллманн (Gunter Ollmann). Эксперт считает, что "использование этой техники поможет находить ботнеты с большим генерируемым трафиком, в то время как против атак наподобие кражи паролей и внедрения банковских троянских программ, где усилия сконцентрированы на определенном хосте, методика будет малоэффективна".

 



Загрузка...

Комментарии (0)

Input is not a number!
Input is not a email!
Input is not a number!