Informatie voor de pers. Vrije Universiteit Amsterdam.
19/01/2005
---
VU-informatici starten groot onderzoek
Zeven ton voor jacht op Internetwormen en -virussen
De afdeling Informatica van de VU start met een budget van 700.000
euro een van de grootste onderzoeken naar het opsporen en bestrijden
van wormen en virussen op het Internet. Het beschikbare budget is de
som van drie verschillende subsidies: twee EU-subsidies en een
subsidie van NWO/STW.
Computerwormen en virussen vormen een steeds grotere bedreiging voor
onze computernetwerken en kunnen in een mum van tijd enorme
economische schade aanrichten. Zo veroorzaakten de beruchte
Mydoom-wormen binnen het etmaal een wereldwijde schade van 850 miljoen
dollar. Ze maken namelijk computernetwerken onklaar, waardoor mensen
niet meer kunnen werken en bestanden vernietigd worden.
Het onderzoek van de VU omvat allerlei aspecten van het beschermen van
computers en netwerken, van het automatisch genereren van unieke
signalementen (signatures) van cyberaanvallen, tot het opzetten van
een pan-Europese netwerkmonitor-infrastructuur die netwerkbeheerders
in staat stelt om gegevens van verschillende geografische locaties te
vergelijken en op deze manier tot een accuratere opsporing te komen.
Het onderzoeksprogramma richt zich in het bijzonder op geavanceerde,
zich snel verspreidende aanvallen op snelle netwerkverbindingen. Het
uiteindelijke doel is om te komen tot identificatie en preventie van
cyberaanvallen voordat ze de kans hebben gekregen om zich te
verspreiden.
Volgens Herbert Bos, leider van het onderzoek aan de VU, is het
weliswaar de taak van politie en justitie om de wormverspreiders op te
pakken en te vervolgen, maar hebben netwerkbeheerders en zelfs
individuele gebruikers in eerste instantie de plicht om een worm te
vinden en te stoppen. Bos: "Je kunt het vergelijken met een
terroristische organisatie die een dodelijk virus verspreidt: het is
de zaak van elke dokter en zelfs van iedere burger om ervoor te zorgen
dat het virus zich niet verspreidt. Het is vervolgens de zaak van de
politie om uit te zoeken wie het verspreid heeft en om deze mensen op
te pakken."
De verschillende projecten die bijdragen aan het onderzoekprogramma
zijn:
·DeWorm Het DeWorm project richt zich op het opsporen van de
allersnelste wormen (flash-worms). Zulke wormen zijn in staat gebleken
om zich binnen enkele minuten te verspreiden naar elke kwetsbare
computer op het Internet. Om ze te bestrijden, wordt eerst gekeken
naar afwijkende patronen op hoog niveau in het netwerkverkeer
(bijvoorbeeld: er is veel meer verkeer bestemd voor een bepaald
programma dan gebruikelijk). Als zo´n afwijkende stroom datapakketten
is gevonden, dan wordt deze vervolgens onderworpen aan een
byte-voor-byte data-inspectie.
·NoAH "Het Europese NoAH project houdt zich bezig met het opzetten
van een pan-Europees netwerk van honeypots. Dit zijn de
Internet-equivalenten van bliksemafleiders: pc"s die bewust open
worden gezet om cyber-aanvallen uit te lokken. Als een aanval de
honeypot bereikt, wordt hij automatisch ontleed en het signalement van
de aanval wordt doorgestuurd naar machines en instanties die zich
bezighouden met het blokkeren van zulke pakketten.
·Lobster Het Europese Lobster project ontwikkelt een Europese
infrastructuur van netwerkmonitoren voor de backbone-verbindingen,
waarmee beveiligingsprogramma´s het netwerk in de gaten kunnen houden
(en alarm kunnen slaan als ze een uitbraak van wormen of virussen
wordt vinden).
Vrije Universiteit Amsterdam