MS wil einde aan wormen en buffer overflows

[Blue-Sky]

<img src="http://upload.userbase.be/upload/ms_verzet.jpg" align="left" width="90" height="100"> Onderzoekers van Microsoft zijn druk bezig met oplossingen voor hedendaagse computerproblemen zoals wormen en buffer overflows. Tijdens het jaarlijkse Techfest-evenement, dat afgelopen week voor de vijfde keer werd gehouden, presenteerde Microsoft Research voor een publiek van duizenden Microsoft-werknemers enkele nieuwe projecten op het gebied van beveiliging. Een daarvan heet in de wandelgangen Vigilante. Doel hiervan is
computersystemen te vrijwaren van internetwormen.

Centraal in Vigilante staat het al langer bekende idee van 'honey pot', een aantal computers die aan internet hangen en als soort lokaas voor wormen dienen. Hieruit moet de nodige informatie komen.

Als er eenmaal een aanval wordt gedetecteerd, moet het systeem deze analyseren. De informatie die hieruit komt, wordt vervolgens naar andere computers gestuurd. Deze moeten geheel automatisch een elektronisch schild opwerpen tegen het nieuwe wormgevaar, zo is het idee.

Enige actie van beheerders is hierbij niet nodig. Sterker nog, deze is volgens Microsoft ongewenst. "We hebben een geheel geautomatiseerd systeem nodig", zo zegt Manual Costa van Microsoft. "Anders is het in veel gevallen te laat."

Een ander nieuw project - Control-Flow Integrity - heeft betrekking op een systeem dat moet verhinderen dat kwaadaardige code op een systeem wordt uitgevoerd. Onverwachte activiteit moet hiermee automatisch worden geblokkeerd. Met een dergelijke tactiek moeten zogenoemde buffer overflows, die ontstaan door het toevoegen van kwaadaardige code, tot het verleden behoren.

Aan dit systeem zit evenwel een belangrijk nadeel, zo erkent Microsoft. Het maakt computersystemen namelijk trager.

Bron: Webwereld.nl van 5 maart 2005

[trobbelke]

dat Honey pot idee vind ik wel goed, moet ik zeggen

[ubremoved_983]

http://project.honeynet.org/

[Styno]

dat Honey pot idee vind ik wel goed, moet ik zeggen

Honeypot en analyse van de data ok, maar honeypot en 'automatisch' distribueren??? Are you mad?

Stel dat er iemand iets op die honeypots uitvreet waardoor het systeem denkt dat hij het internet moet afblokken. Een 10tal minuten later zijn die rules gedistribueerd en ligt de helft van het net eruit.

[The_Borg]

Neen dank u, ik neem als beheerder liever zelf de nodige beslissing ipv één of andere artificieel opgepompte computer. Zoals Styno al zegt, hoe lang zal het duren vooraleer dit systeem misbruikt wordt?

[deej]

Die Honeypots bestaan al langer en worden door bv Anti-virus bedrijven en security onderzoekers gebruikt om de activiteit op het net in kaart te brengen. Als bv Symantec dan zijn ThreatCon level verhoogt is dat omdat ze plots meer traffiek op een bepaalde port / service zien verschijnen en dan gaan ze dat analyseren.

Ik ben persoonlijk wel gewonnen voor het idee van het automatisch schild aangezien de meeste wormen gretig gebruik maken van de instelling van The_Borg, namelijk dat de beheerder denkt alles best te weten en daardoor veel fouten maakt of vooral veel gaten ongedicht laat.

Als security professional ben ik er niet zo voor gewonnen: het is namelijk net dat wat voor ons het meeste business oplevert -> human errors. Wij zeggen altijd maar "Artificial Intelligence is no match for natural stupidity" . Dus mijn broodwinning is gelukkig nog niet meteen in gevaar .

[The_Borg]

Je mag zeggen wat je wil, de beheerder staat in voor het netwerk, dus ja hij moet de lekken dichten. Af en toe geraakt wordt er dan eens één vergeten en komen daar problemen van. Wil jij dat risico inruilen voor het risico dat dit systeem gekraakt wordt en dat er een worm verspreid wordt die door iedereen als een patch wordt gezien? In no-time kan je zo algemene chaos bewerkstelligen.