Корпорация Microsoft развернула проект, который специалисты по сетевой безопасности уже назвали "чрезвычайно элегантным". Речь идет об автоматической системе поиска сайтов, распространяющих программы с потенциально опасными последствиями, например, трояны или эксплойты.
Проект Strider Honeymonkey Exploit Detection System (далее SHEDS или Honeymonkey) представляет собой "активный" вариант Honeynet Project. Термином Honeypot, в названии двух проектов, разработчики называют минимально защищенные компьютеры, играющие роль приманок для распространяющихся по Сети вирусов и троянов, сообщает "Компьюлента".
Honeynet Project, о котором мы рассказывали несколько месяцев назад, представляет собой сеть беззащитных компьютеров, которые притягивают всевозможные вредоносные программы и регистрируют их активность, не забывая подмечать и действия их хозяев. Отличие Honeymonkey от Honeynet состоит в следующем. "Пассивная" сеть работает как приманка - пассивно дожидается заражения. Компьютеры "активной" сети сами "ищут неприятности". С установленной непропатченной версией Windows XP, эти компьютеры в автоматическом режиме просматривают "сомнительные" ресурсы сети, пытаясь найти сайты, автоматически заражающие компьютеры через дыры в браузерах.
Основная идея проекта состоит в том, чтобы обнаруживать новые эксплойты, трояны и spyware до того, как те получат изрядное распространение.
Успехи на лицо: за последнее время удалось обнаружить 752 уникальных адреса на 287 веб-сайтах, где ждали своего часа свеженькие программы, самостоятельно устанавливающиеся на непропатченные компьютеры с Windows XP.
"В плане "разведывательного" потенциала, это чрезвычайно элегантная разработка," - приводит Security Focus слова известного специалиста Дэна Камински, - "Антивирусная модель (поиск потенциально опасных сигнатур) не позволяет обнаружить вовремя ранее неизвестные типы атак и вредоносного софта. Самый эффективный способ выяснить, может ли веб-страница нанести урон браузеру, это подсунуть ей [уязвимый] браузер и предоставить ей возможность выполнить потенциально вредоносный код."
