geplaatst
Met de opkomst van internet is het aantal computervirussen spectaculair gestegen. Was een computervirus drie jaar geleden nog een bezienswaardigheid, nu gaat er geen dag meer voorbij zonder dat ik een paar virussen per e-mail ontvangt. Doordat steeds meer mensen een 'always on'-verbinding (kabel of adsl) hebben, verspreiden de virussen zich steeds sneller over de wereld. Wat bugs in veelgebruikte software zoals de Internet Explorer doen de rest.
Matthew Williamson, onderzoeker bij de Hewlett-Packards Labs in Bristol, denkt een oplossing voor het steeds groter wordende virusprobleem te hebben: een soort snelheidsbegrenzer op elke computer. Hij pakt daarmee een van de belangrijkste kenmerken van de meeste computervirussen aan: virussen proberen zich over het algemeen zo snel mogelijk te verspreiden naar zoveel mogelijk andere computers.
"Als een pc geinfecteerd raakt, gaat het virus zoveel mogelijk verbindingen met verschillende machines proberen te leggen", legt Williamson desgevraagd per e-mail uit. Het aantal pogingen om verbinding te maken met andere machines ligt bij een geinfecteerde computer vele malen hoger dan bij gewoon gebruik. Bovendien leggen sommige virussen in hoog tempo contact met adressen die niet voor de hand liggen, bijvoorbeeld doordat ze willekeurige IP-adressen 'scannen'. Omdat deze processen zo afwijken van wat normaal is, kun je er volgens Williamson makkelijk tegen optreden.
Hij stelt voor om een filter te installeren dat elke poging om contact te leggen met een andere machine beoordeelt. Komen er veel verzoeken om verbinding te leggen achter elkaar, dan worden de verzoeken in een wachtrij gezet. Ook verbindingen met 'vreemde' adressen (machines waarmee de computer tot nu toe nooit contact heeft gehad) kunnen aanleiding zijn om de snelheid te beperken. Vanzelf ontstaat er een 'wachtrij' met verzoeken om verbinding te maken.
"Door te bekijken hoelang de wachtrij is, kun je het virus ontdekken", aldus Williamson. "Het detectieprogramma zal dan voorkomen dat het virus zich verder kan verspreiden, bijvoorbeeld door het geinfecteerde proces stop te zetten of door de verbinding met het netwerk te verbreken. Vervolgens krijgt de gebruiker of de systeembeheerder een waarschuwing op zijn scherm, zodat hij actie kan ondernemen."
Volgens Williamson kan zijn methode veel schade voorkomen. "De technologie zorgt er niet voor dat een machine niet meer geinfecteerd kan raken, maar kan wel voorkomen dat een geinfecteerde machine veel andere computers aansteekt met het virus. Daardoor kan de snelheid waarmee een virus zich verspreidt, beperkt worden. Omdat geinfecteerde machines het virus niet meer verder verspreiden, zullen de netwerken bovendien minder zwaar belast worden. Hoe meer machines voorzien zijn van deze oplossing, hoe beter het resultaat."
De door Williamson voorgestelde remedie lijkt op het eerste gezicht vooral bruikbaar bij virussen als Code Red en Nimda: virussen die er inderdaad voor zorgen dat een pc in hoog tempo contact legt met verschillende, vaak 'onbekende' machines. Maar ook voor e-mailvirussen die gebruik maken van slechts een bekende verbinding (namelijk die met de mailserver van de internetaanbieder), kan deze methode uitkomst bieden, meent Williamson.
"Het klopt dat een e-mailvirus maar een verbinding gebruikt. Maar virussen verspreiden zich door gebruik te maken van de adressen van hun doelwitten. Die adressen kunnen zowel IP- als e-mailadressen zijn. De oplossing werkt dus ook voor e-mail. Het is een kwestie van beide typen adressen opnemen in het filter. Het idee is dat de oplossing kan worden toegepast op alle soorten virussen, omdat het fundamentele karakter van virussen ermee wordt aangepakt: virussen verspreiden zich *snel* en naar een groot aantal *verschillende* adressen."
Ook mensen en bedrijven die een anti-virusprogramma hebben, kunnen profiteren van zijn oplossing, denkt Williamson. "Computers zijn kansloos tegen virussen totdat het antigif is ontwikkeld en geinstalleerd. Mijn systeem beschermt computers totdat het zover is. De snelheidsbegrenzer hoeft niets te weten over het virus om het toch tegen te houden."
Er kleeft een nadeel aan de methode van Williamson: het filter kan ook ingrijpen bij 'valse positieven'. Iemand die in korte tijd een groot aantal mailtjes verstuurt (bijvoorbeeld uitnodigingen voor een feestje) of in hoog tempo allerlei websites (met veel advertenties die weer op andere servers staan) bezoekt, kan te maken krijgen met vertraging van zijn computer. En we hebben die snelle computers en snelle verbindingen toch niet voor niets aangeschaft?
Volgens Williamson valt de hinder van de snelheidsbegrenzer reuze mee. "De resultaten van mijn onderzoek tonen aan dat de snelheidsbegrenzer de 'snelheid' van de verbinding niet significant beperkt. Bij onze test met drie gebruikers die het filter drie maanden gebruikten, was de maximumvertraging vijf seconden, en dat gebeurde een keer bij in totaal 80.000 verbindingen. Van alle verbindingen werd 98 procent zonder vertraging uitgevoerd. Met alle andere vertragingen in netwerken, vallen de vertragingen door de snelheidsbegrenzer nauwelijks op."
Wanneer we software met de snelheidsbegrenzer kunnen kopen, is onduidelijk. Williamson: "HP Labs doet onderzoek dat Hewlett-Packard kan gebruiken voor nieuwe producten. De beslissing om dat al dan niet te doen is een zakelijke beslissing en daar ben ik niet direct bij betrokken."
[ 01.12.2002, 16:57: Bericht ge-edit door: NiMS ]
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
|