Ученые университета предложили "прививку" от хакерских атак

На международной конференции “РусКрипто” ученые Самарского университета представили новую разработку - систему профилактики и защиты интернет-сервисов от хакерских атак. 

 

В течение года сотрудники кафедры суперкомпьютеров и общей информатики Самарского университета проводили исследование, по результатам которого создали систему профилактики и защиты интернет-сервисов от взлома.

Год назад ученые установили четыре сервера-ловушки (honeypot) с реальными IP-адресами в Самарской области, Республике Крым, Ростовской области и Соединенных Штатах Америки. «Система ловушек - это известная с 1990 годов технология. Она предусматривает установку на абсолютно пустые сервера программного обеспечения, которое имитирует работу десяти интернет-сервисов, наиболее популярные среди пользователей”, - объясняет профессор кафедры суперкомпьютеров и общей информатики Самарского университета Андрей Сухов. 

Затем на протяжении года ученые следили за различными видами атак на расставленные ловушки (сканирование портов, попытки доступа к web-серверам, к сервисам IP-телефонии, к электронной почте, к управлению базами данных, попытками перехватить управление операционной системой), затем систематизировали их и в итоге создали “черный список” из подозрительных IP-адресов по каждому сервису. Чтобы попасть в “черный список” надо соответствовать двум критериям: “отметиться” минимум на двух серверах-ловушках и трижды атаковать сервис (три прозвона или три попытки подобрать пароль). Так, например, в “нападении” на сервис IP-телефонии за год “засветились” 1063 IP-адреса.  

 

Для защиты интернет-сервисов от хакеров ученые вуза предложили провести профилактику за счет следующего алгоритма: с помощью программно-конфигурируемых сетей распространить полученную базу данных с адресами злоумышленников. 

 

«Благодаря программно-конфигурируемой сети, мы можем “вакцинировать” её составленной нами базой данных подозрительных IP-адресов, после чего она сама сможет анализировать трафик, определять способы атаки с адресов из “черного списка” и, в итоге, заблокирует действия злоумышленников”, - говорит доцент кафедры суперкомпьютеров и общей информатики Евгений Сагатов.

Более того, предложенный учеными алгоритм позволяет передавать базы данных вышестоящим провайдерам по защищенным каналам. А также устанавливать защитные фильтры от хакеров на два уровня выше провайдера в архитектуре Сети.

 

Этот комплекс мер поможет администратору сети вовремя обнаружить не только уже взломанную рабочую станцию, но и предотвратить саму попытку взлома.

 

«Здесь уместна такая аналогия: можно ловить преступника по следам, оставленным на месте преступления, а можно заранее предотвратить само преступление, - говорит Андрей Сухов. - Ведь к сети любой организации подключен ряд компьютеров, на котором в фоновом режиме функционируют многочисленные системные приложения и пользователи обычно не обращают внимание на их работу. Злоумышленник же ищет компьютеры, на которых эти системные приложения открыты и пытается проникнуть. Он “прозванивает” машину, то есть отправляет пакет данных с запросом, тем самым узнает, есть ли на компьютере нужная служба и открыта ли она для внешнего воздействия. Пользователи даже не замечают, что их компьютер уже взломан и превращен в источник для взлома следующих жертв или для рассылки спама. Если же провести определенную профилактику, то можно вычислить, откуда идет атака и принять защитные меры».