Bramy - sposób na malware
- Józef Muszyński,
- Barry Nance,
- 10.05.2010
TCP RESET instruuje zarówno nadawcę, jak i odbiorcę o przerwaniu bieżącej transmisji danych. Urządzenie nasłuchuje przepływ konwersacji i kiedy wykryje malware, kieruje komendę do klienta i hosta malware w celu jego zatrzymania.
Brama musi być bardzo szybka - powinna wysłać pakiety TCP RESET zanim klient (ofiara) przetworzy ostatni pakiet związany z malware. Wniosek z tego jest taki, że najbardziej efektywną metodą zastopowania malware jest dogłębna i szczegółowa inspekcja ruchu sieciowego przed dopuszczeniem jego przepływu w stronę klienta.
W jakim zakresie testowane produkty obsługują TCP RESET? McAfee nie korzysta z tej metody, używając zamiast niej modelu, który nazywa positive security - wykorzystuje podejście inline do blokowania malware. Websense zachowuje równowagę: używa TCP RESET do kontroli protokołów P2P i IM, a na inspekcję pakietów zdaje się przy ruchu HTTP, Secure-HTTP i FTP. Symantec też oferuje oba podejścia: inline i port podsłuchu w wykrywaniu malware. Trend Micro preferuje inspekcję pakietów inline, używając portów podsłuchu do monitorowania, skanowania i powiadamiania pozapasmowego.
Obecnie malware mogą przybierać różnorodne postacie: złośliwych witryn WWW, fałszywych banerów reklamowych na niewinnie wyglądających witrynach, prób phishingu, spyware, spamu, wirusów, trojanów, botnetów, rootkitów, malware komunikatorów, malware P2P, malware Skype, malware sieci społecznościowych, malware gier sieciowych i malware aplikacji Web 2.0. Lista jest długa i zagrożenia te, związane z internetem, nie mogą być ignorowane. Ataki webowe są teraz jednymi z najbardziej niebezpiecznych i wymyślnych używanych przez cyberkryminalistów. Mogą one pochodzić ze stron WWW, uprowadzonych legalnych witryn, wiadomości phishingowych i sieci społecznościowych.
Można zakładać, iż bezpieczne jest odwiedzanie tylko zaufanych witryn WWW. Jednak cyberkryminaliści nierzadko przejmują np. banery reklamowe, i choćby z tego powodu zaniechanie wdrożenia efektywnej bariery osłonowej na styku z internetem jest dużym ryzykiem.