'Microsoft begint wormenrace'
Gepubliceerd: Vrijdag 15 februari 2008
Auteur: Michiel van Blommestein
Onderzoekers van Microsoft zijn op zoek naar de 'perfecte worm'. Daarmee kan een goedaardige peer-to-peer epidemie opgewekt worden zodat patches sneller verspreiden.
Dat schrijft de website van The New Scientist. De meeste wormen speuren willekeurig naar systemen in een roep om naartoe te verspreiden. Dat is volgens Microsoft onderzoeker Milan Vojnovic erg inefficiënt, omdat ze dan tijd verspillen met het aftasten van individuele systemen binnen groepen waarin de meeste computers niet (meer) beschikbaar zijn voor een besmetting.
Door wel efficiënt te zijn in zijn zoektocht naar open poorten moet een eventuele vriendelijke worm zijn kwaadaardige broertjes voor zijn en kwetsbaarheden wegruimen, met patches, fixes, enzovoorts.
In het ideale geval gebruikt een worm voorkennis over een netwerk om zich te verspreiden. De subnets zijn dan al van tevoren in kaart zijn gebracht, bijvoorbeeld door een eerdere (en gepatchte) wormrondgang. Zo kan hij zich met een minimaal aantal probes verspreiden.
Die voorkennis is niet altijd beschikbaar. De goedaardige worm krijgt daarom ook een gerichter zoekpad mee, zodat het aantal zoekopdrachten tot een minimum wordt teruggebracht. In eerste instantie zoekt hij willekeurig een 'leeg' systeem, waarna hij de subnet in een keer inventariseert. Hij verspreidt zich alleen verder in het subnet als er voldoende beschikbare systemen zijn.
"Als het na laten we zeggen tien pogingen niet is gelukt om nieuwe hosts te vinden, speurt de worm weer willekeurig naar een andere groep," aldus Vojnovic in het stuk. Het onderzoek heeft volgens hem als bijkomend voordeel dat mogelijke werkwijzen van eventuele toekomstige wormen in kaart worden gebracht. In April hoopt het team de reslutaten te presenteren.
Niet nieuw
Het idee is niet nieuw. White hats verspreiden al sinds het prille begin wormen die 'zwarte' wormen te lijf gaan. Al in de jaren 70 werd 'Reaper' door onbekenden gebouwd om het 'Creeper'-worm op ARPAnet te bestrijden. In 2003 werd een worm opgemerkt die de beruchte Blaster bestreed door de juiste patches voor Windows binnen te halen.
Gezien de controverse rond ongevraagde updates in het verleden zullen niet alle Windows-klanten warmlopen voor een peer-to-peer patch. Lezers van Slashdot zijn over het algemeen dan ook sceptisch. Een van hen wijst erop dat een black hat of script kiddie de worm kan kapen en infecteren met malware.
