Denne uka har internasjonale sikkerhetseksperter vært samlet i Baltimore på konferansen Usenix Security Symposium. Her vakte forskere fra University of Wisconsin oppsikt da de påviste metoder for å kartlegge nettverk av hemmelige ormefeller som spiller en nøkkelrolle i forebyggende sikkerhet på Internett. Forskernes arbeid ble presentert av en dem, John Bethencourt. Presentasjonen er tilgjengelig i pdf-format: Mapping Internet Sensors with Probe Response Attacks.
Flere organisasjoner, blant dem University of Michigan, SANS og Symantec, har etablert nettverk som overvåker trafikken på Internett, også til ubrukte IP-adresser. Andre former for «sensorer» er blant annet ormefeller som «honeypots» og «honeynets», og samarbeidende systemer av snokvarslere. Felles for alle disse sensorene er at de brukes til å avdekke ondsinnet trafikk og spore opp og stenge kildene.
Hvor disse sensorene er plassert, det vil si hvilke IP-adresser de har, er en strengt bevoktet hemmelighet. Det er derimot ikke vanskelig å få tak i informasjonen som de genererer. Denne informasjonen kan ifølge Wisconsin-forskerne, brukes til å kartlegge sensorene.
Framgangsmåten er såre enkel: Man sender datapakker til en samling IP-adresser, og så sjekker man hvilke utslag det gir på rapportene fra sensorenes innsamlingssentral. Dette kalles «probe response attack», eller «sonderesponsangrep». Forskerne fant at det er mulig å utvikle algoritmer for å legge opp slike angrep og analysere utslagene slik at man med rimelig treffsikkerhet finner fram til sensorenes IP-adresser, uten tilgang til spesielt stor båndbredde og regnekapasitet.
For å teste metoden, prøvde de å kartlegge sensornettverket til SANS Internet Storm Center. Dette nettet består av over godt spredte 680.000 IP-adresser. Kartleggingen lykkes gjennom å analysere hva slags utslag trafikk til grupper av IP-adresser fikk i SANSs rapporter om portaktivitet.
Konklusjonen fra forsøket, er at det vil ta om lag ni dager for en hacker som bruker den samme metoden, å kartlegge hele SANS-nettet på 680.000 IP-adresser – blant over 2,1 milliarder mulige adresser – forutsatt tilgang til en båndbredde på 38,4 Mb/s. Med mindre båndbredde krever angrepet bare lenger tid.
Forskerne konkluderer følgelig med at denne typen sondeangrep utgjør en alvorlig trussel mot sikkerhetstilstanden på Internett.
Hackere som kjenner sensorenes IP-adresser vil kunne sette opp for eksempel portskanning og ormer for å unngå dem, og på den måten unngå å bli oppdaget. De vil også være i stand til å oversvømme sensorene med feilaktige data for å dekke over reelle angrep. Det sensorene genererer av data vil være totalt upålitelig.
SANS-nettet er ikke spesielt sårbart for sondeangrep, mener forskerne. De anslår at det vil ta noe i overkant av fire dager å kartlegge for eksempel nettverket til Symantec.
Forskerne foreslår flere former for mottiltak. Felles for disse, er at de forsinker eller begrenser offentlig tilgang til rapportene fra sensornettene. De peker også på at overgang til IPv6, som har langt flere IP-adresser enn dagens protokoll, vil være svært effektivt.