Zespół naukowców z University of Tulsa w Oklahomie opracował rozwiązanie utrudniające ataki na krytyczną infrastrukturę internetową, jak systemy informatyczne sieci energetycznych czy przedsiębiorstw wodno-kanalizacyjnych.
Ataki na infrastrukturę krytyczną jak sieci energetyczne czy wodociągi i kanalizacja od 2010 roku zaczynają się powtarzać.
W 2010 roku robak Stuxnet zaatakował systemy informatyczne typu SCADA zarządzające liniami produkcyjnymi i - jak się okazało - sterownikami wirówek gazowych irańskiego programu nuklearnego. W 2011 roku rozpoznano też atak na system wodno-kanalizacyjny w Houston w Teksasie; do tej pory jego przyczyny i natura pozostały nieznane, choć do działań tych przyznał się irański hacker. Ataki takie ułatwia stan sieci usługowych i przemysłowych. Wiele z nich nie jest od lat modernizowanych, nie instalowano w nich kluczowych uaktualnień, nie zmieniano też loginów i haseł.
Naukowcy postanowili spowolnić cały ruch internetowy, w tym pakiety zawierające złośliwy kod lub używane w atakach DDOS zasypujące żądaniami udostępnienia usługi serwery ofiary.
W momencie kiedy zostanie stwierdzony atak, specjalny, opracowany przez badaczy algorytm wyśle sygnały o dużej szybkości tzw. nadszybkości, ostrzegające o złośliwym kodzie lub pakietach i aktywujące obronę - firewalle, systemy filtrowania pakietów oraz ochrony krytycznych elementów infrastruktury - serwerów, baz danych i sterowników maszyn.
Rozwiązanie opracowane przez naukowców z Univeristy of Tulsa wymaga jednak rekonfiguracji działających już sieci. Trzeba zabezpieczyć pasmo dla transmisji sygnałów zarządzania i kontroli (command and control) działających z nadszybkością. Jest to rezerwa, która przy normalnym trybie działania sieci jest z niej wyłączona; zmniejsza więc jej pojemność.
Rozpoznanie ataku powoduje też konieczność zapisania spowolnionych danych przez systemy składowania i pamięci, ponieważ inaczej zostałyby one utracone. Jednak takie działanie dodatkowo obciąży sieć. Konieczne jest także przeprogramowanie routerów przez które wiedzie ruch internetowy. Jako "pierwsza linia obrony" będą musiały monitorować pakiety, oznaczać je i przetrzymywać szkodliwe, chroniąc kluczowe elementy infrastruktury jak pompy, sterowniki sieci energetycznej czy nawet bankomaty, jeśli atak miałby być skierowany na sieci usług finansowych.
Oprogramowanie ochrony poprzez sygnały nadszybkościowe pracujące w sieciach infrastruktury krytycznej musi być też często uaktualniane. Konieczne jest by system rozpoznawał sygnatury niemal wszystkich używanych robaków, wirusów, koni trojańskich i malware.
Jak jednak powiedział New Scientist uczestniczący w projekcie Sujeet Shenoi z University of Tulsa, problemy te można przynajmniej częściowo rozwiązać, utrzymując sieć w stanie pogotowia tj. z możliwością użycia systemu nadszybkościowego w każdej chwili, jeśli wystąpi stan zagrożenia atakami.
Taki tryb pracy spowalnia działanie sieci, więc nie dla wszystkich firm np. operatorów telekomunikacyjnych jest możliwy. Jednak utrudniłoby to zdecydowanie działanie hakerów w sieciach krytycznych jak energetyczne czy usług wodociągowo-kanalizacyjnych, gdzie pakiety danych są niewielkie i zmniejszenie szybkości nie będzie tak szkodliwe. (PAP)
poleca:
