На недавно прошедшей в Редмонде ежегодной технической конференции подразделение Microsoft Research представило прототипы двух новых проектов, призванных защитить сети от интернет-червей, эксплуатирующих открытые уязвимости, и от атак с выполнением вредоносного кода.
Первый проект называется Vigilante. Ученые попытались автоматизировать борьбу с червями, которые очень быстро распространяются и используют еще не известные уязвимости в программном обеспечении. Для этой цели используется специальный набор серверов-приманок, которые должны детектировать червя в самый первый раз. Как только это произойдет, будут созданы самостоятельно сертифицирующиеся предупреждающие сообщения. Они описывают проблему и указывают, как с ней бороться. Такими сообщениями будут обмениваться узлы сети друг с другом. По мнению исследователей из Microsoft, чтобы обмениваться предупреждениями, узлы не должны друг другу доверять и предоставлять какие-то права. Ученые считают, что узлы могут самостоятельно создавать фильтры или заплатки, которые блокируют распространение червя. Представители Microsoft Research заявили, что Vigilante может справиться даже с очень быстро распространяющимся вредителем - таким, как Slammer. Напомню, что Slammer вывел из строя 25% серверов в Интернет, а 90% всех уязвимых серверов он инфицировал всего за первые 10 минут атаки.
Исследователи отметили, что эвристические алгоритмы, использующиеся в Vigilante, строятся на выявлении ненормальной активности в сетевом трафике. Так как пока нет достаточного количества информации об уязвимостях в программах, которые черви могут использовать на сетевом уровне, эвристика может давать большое количество ложных срабатываний.
Следующий проект называется Control-Flow Integrity. Он позволяет контролировать исполнение машинного кода и, таким образом, предотвращает работу эксплоита. Более подробные сведения о данном проекте доступны в научном отчете по ссылке ниже.
Результаты, полученные учеными Microsoft Research, представлены в технических отчетах и статьях (в формате PDF), которые можно скачать отсюда:
Проект Vigilante: ссылка
Проект Control-Flow Integrity: ссылка