Waar een webaanval vandaan komt kan aardig gemaskeerd worden en er komt een hoop (menselijk) ‘handwerk’ bij kijken om daar achter te komen (zo al). Nu hebben onderzoekers van het technologisch instituut van Georgia (VS) een programma ontwikkeld, waarmee dat ‘handwerk’ grotendeels zou kunnen worden geautomatiseerd. Daardoor zouden de daders sneller te vinden zijn, het duidelijk worden waar ze in het netwerk inbraken, welke computersystemen werden aangedaan en welke gegevens er werden gestolen, zeggen de webbeveiligingsonderzoekers van het Georgia Tech.
Ze noemden hun systeem RAIN (waarom dan ook; van de regen in de drup komen?). Dat zou getedailleerde gegevens kunnen achterhalen van een digitale inbraak, op verschillende niveaus van detailering, zelfs. “Je kunt terug gaan en achterhalen wat er mis ging, niet alleen het punt waarop het mis ging, maar ver genoeg terug om er achter te komen hoe de inbreker is binnengekomen en wat ie in het systeem gedaan heeft”, zegt onderzoeker Wenke Lee.
Forensische technieken zijn in staat om gedetailleerde informatie te verschaffen over de stand van het netwerk en de computers. Met die informatie in de hand kunnen onderzoekers proberen te achterhalen hoe de webaanval heeft plaatsgevonden, maar dat zou, vanwege zaken rond de gegevensopslag, niet gedetailleerd genoeg zijn. Andere systemen maken tussentijdse opnames, maar die kunnen (zullen?) het juiste moment vaak missen.
RAIN houdt het systeem constant in de gaten en herkent potentieel interessante gebeurtenissen. De mogelijkheid selectief interessante informatie te verzamelen is van groot nut voor het analyseren van een webaanval. Het meetsysteem pikt er ogenschijnlijk ongerelateerde processen uit en bepaalt daaruit hoe de aanval heeft plaatsgehad, nagenoeg zonder vals alarm, stellen de onderzoekers.
“Tijdens het ‘naspelen’ van de gebeurtenis gebruiken we dynamische hulpmiddelen om de juiste informatie te extraheren”, zegt medeonderzoeker Taesoo Kim. “We organiseren de informatie op een hiërarchische manier en voor elk niveau hebben we een ander analysetype. Op de diepste laag kunnen we vertellen wat er op bitschaal is gebeurd.” Die fijnmazige analyse is uiterst nuttig om de aanval te onderzoeken, maar zou te duur zijn om die voortdurend uit te voeren. Die detaillering kan apart worden uitgevoerd als er stront aan de knikker is, leggen de onderzoekers (niet in deze woorden) uit.
Geheugenruimte
Ondanks zijn kieskeurigheid neemt RAIN heel wat geheugenruimte in beslag, maar volgens Kim is dat met het steeds goedkoper worden van de opslagbyte geen probleem. Zo zou een gewone computer per dag 4 GB opslag per dag kosten, minder dan 2 TB per jaar. Kosten: zo’n € 50. Kim: “Dat is alleszins betaalbaar.”
Nu zou het achterhalen van de juiste gegevens weken of soms zelfs maanden duren. RAIN kan, zo stellen de onderzoekers, naast zijn analysewerk in het geval van webaanvallen ook het systeem veiliger maken door die zichtbaarder te maken dan tot nu toe mogelijk is. Lee: “Als dit systeem wordt geïnstalleerd dan wordt het hele computersysteem transparant en wordt duidelijk wat er mis is gegaan.”
Het vierjarige onderzoeksproject wordt gefinancierd door DARPA, de onderzoeksorganisatie van het Amerikaanse leger.
Bron: EurekAlert