SANS Institute ripensa la difesa anti-cracker

Blacklist di indirizzi IP malevoli create attraverso il confronto tra i log dei firewall DShield. Chi abbonda in segnalazioni, finisce fuori: l'esatto opposto di quanto fa Google con il suo Pagerank
Blacklist di indirizzi IP malevoli create attraverso il confronto tra i log dei firewall DShield. Chi abbonda in segnalazioni, finisce fuori: l'esatto opposto di quanto fa Google con il suo Pagerank

Suscita interesse Highly Predictive Blacklisting , progetto del SANS Institute pensato per implementare una protezione di rete più efficace , affidabile e senza inutili elementi di ridondanza ad appesantirne il funzionamento. Una protezione che ha alla sua base una sorta di PageRank in versione anti-malware.

Esattamente come il PageRank identifica la popolarità di una pagina web in relazione ai link che puntano a essa, così HPB dovrebbe generare una lista nera di IP usati da hacker, cracker e malware writer partendo dalla correlazione esistente tra gli indirizzi bloccati dai firewall dei partecipanti a DShield .

“Come in una web query – si legge sulla pagina informativa di HPB – i log dei partecipanti a DShield vengono incrociati e comparati alla ricerca di sovrapposizioni tra le fonti di attacco che essi contengono. Qualunque indirizzo attaccante contenuto in HPB viene selezionato promuovendo quegli indirizzi che vengono individuati da altri partecipanti”.

In sostanza, come già detto, i log dei firewall vengono comparati e le porte che hanno collezionato un maggior numero di attacchi finiscono in una blacklist HPB condivisa tra coloro che hanno inviato log simili .

Un sistema che, tra le altre cose, dovrebbe permettere di evitare inutili ridondanze nelle protezioni di rete come quella sulla porta 1434, bersaglio prediletto dei cracker, usata per la gestione dei database SQL Microsoft che è probabilmente già bloccata dagli ISP e non necessita quindi di ulteriori blocchi a monte del traffico di rete.

HPB verrà presentato ufficialmente la prossima settimana nel corso del 17esimo Usenix Security Symposium . Nel mentre, l’algoritmo alla base delle nuove blacklist viene descritto nel rapporto tecnico disponibile a questo indirizzo .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

24 07 2008
Link copiato negli appunti