Традиционные антивирусные технологии слишком медлительны, чтобы эффективно противодействовать распространению червей по IM-сетям
|
| Традиционные антивирусные технологии слишком медлительны, чтобы эффективно противодействовать распространению червей активными пользователями, рассылающими сотни сообщений по сетям мгновенного обмена сообщениями |
Если пользователи, поддерживающие связь со многими абонентами сетей мгновенного обмена сообщениями (instant messaging, IM), снизят свою активность, это может существенно замедлить распространение IM-червей.
Традиционные антивирусные технологии слишком медлительны, чтобы эффективно противодействовать распространению червей активными пользователями, рассылающими сотни сообщений по IM-сетям. Прерывание связи для таких пользователей может стать одной из стратегий, позволяющих замедлить или совсем прекратить распространение IM-червей. К такому выводу пришел Меттью Уильямсон, который, будучи специалистом компании Hewlett-Packard, проводил исследование, касающееся распространения IM-червей. В нем принимало участие около 700 пользователей.
На конференции Virus Bulletin 2004 International Conference Уильямсон рассказал о результатах этого исследования.
Сети мгновенного обмена сообщениями — пример феномена, известного как «генно-метаболитные» сети или «неограниченные сети». Этот термин используется эпидемиологами для описания систем, в том числе сообществ животных или людей, в которых не все члены связаны друг с другом, но которые сильно восприимчивы к вирусным инфекциям. В компьютерных сетях поведение таких систем определяется узлами с «большим числом связей», имеющих соединения с крупными частями сетевой популяции. В IM-сетях такие узлы — это пользователи, переписывающиеся со многими корреспондентами (в реальном мире такое поведение свойственно социально активным людям).
Черви, заражающие компьютеры таких пользователей, распространяются на машины их корреспондентов, а затем проникают в системы других пользователей IM-сетей. Результаты анализа деятельности «гиперобщительных» пользователей свидетельствуют о том, что традиционные методы защиты от вирусов, в частности антивирусное программное обеспечение для «иммунизации» пользователей сетей мгновенной передачи сообщений, становятся неэффективными. Причина этого, по мнению Уильямсона, заключается в том, что большинство пользователей IM-сетей имеют ограниченное число корреспондентов и их переписка существенно не влияет на распространение вирусов.
Разумнее, с его точки зрения, проводить «иммунизацию» пользователей с большим числом корреспондентов, но сделать это крайне сложно, учитывая, с какой скоростью IM-черви распространяются по всей сети. Тесты, проведенные в HP, показали, что для этого достаточно 10-20 секунд. В качестве альтернативы сетевые администраторы могут попытаться отследить поведение сообщений, по своему характеру напоминающее распространение вируса, и ограничить скорость взаимодействия машин. Эта методика, которую в HP называют «торможением вируса», практически идентична методу, разработанному компанией (сейчас HP оформляет на него патент) и применяемому для предотвращения массового распространения в корпоративных сетях вирусов и червей через электронную почту.
После объявления в феврале нынешнего года о планах, связанных с реализацией службы «торможения вирусов», компания в августе подтвердила, что он не эффективен в сетях со смешанным сетевым оборудованием. Сейчас HP ищет способы применения этой технологии в типичных сетевых средах.
Технология торможения вирусов предусматривает ограничение числа сообщений, которые пользователь, чей компьютер заражен вирусом, может послать абонентам, не входящим в состав его «рабочего множества», то есть тем немногочисленным корреспондентам, с которыми пользователь переписывается регулярно. Технология сама по себе эффективна, поскольку даже активные пользователи сети мгновенной передачи сообщений, имеющие 100 и больше «друзей по переписке», ежедневно обмениваются письмами лишь с небольшим количеством людей. Как правило, такое «рабочее множество» включает в себя не более пяти абонентов, а остальным корреспондентам активный пользователь пишет каждый день в среднем два письма.
При реализации технологии «торможения вирусов» любые сообщения, посланные абонентам, не входящим в рабочее множество, будут помещены в очередь, и их отправка будет задержана на какое-то время. Если очередь таких задержанных сообщений достигает определенной длины, это свидетельствует о необычно активной переписке с нетипичными корреспондентами. В таком случае, как отметил Уильямсон, связь в сети систем мгновенного обмена сообщениями будет блокирована или сообщения будут задержаны на более длительный период.
Использование «торможения» для того, чтобы временно отключить от IM-сети небольшое число активных пользователей, может существенно уменьшить скорость распространения червей в сетях мгновенного обмена сообщениями. В то же время, по мнению Уильямсона, этот метод никак не повлияет на работу подавляющего большинства пользователей.
Технология «торможения вирусов», как поспешил отметить Уильямсон, не была протестирована в крупных сетях мгновенной передачи сообщений, таких как сети абонентов America Online или службы Microsoft MSN. Она прошла апробацию среди корпоративных пользователей IM-сетей самой компании HP, однако наиболее показательной и активной категорией пользователей систем мгновенного обмена сообщениями являются подростки.
«Вполне возможно, что привычки и предпочтения молодежи несколько отличаются от тех, что свойственны людям более старшего возраста. К примеру, может быть, подростки предпочитают более активные переговоры», — сказал Уильямсон.
Итак, те же самые принципы, которые определяли использование сети мгновенной передачи сообщений в корпоративных сетях, таких как HP, должны применяться и к подросткам, позволяя администраторам отличать процесс распространения червей от легитимной деятельности, вне зависимости от структурного состава пользователей данной сети.