Llegamos a ustedes gracias a:



Noticias

Sistema del MIT ayuda a las compañías a recuperarse de una intrusión a la red

[30/09/2010] Los investigadores del MIT Computer Science and Artificial Intelligence Laboratory detallarán la siguiente semana un sistema que afirman facilitará a las compañías recuperarse de intrusiones en la seguridad.

El sistema, conocido como RETRO, permite a los administradores especificar acciones maliciosas -tales como una conexión TCP o un request HTTP de un adversario- que quieran deshacer. RETRO repara el sistema de archivos de la computadora deshaciendo selectivamente las acciones maliciosas, esto es, construyendo un nuevo estado del sistema, como si la acción maliciosa nunca se hubiera llevado a cabo, pero dejando todas las acciones legítimas. Al deshacer selectivamente los cambios del adversario mientras que se preservan los datos del usuario, RETRO hace más práctica la recuperación en caso de intrusión, señalan los investigadores en el paper que se va a presentar la próxima semana en el noveno USENIX Symposium on Operating Systems Design and Implementation http://www.usenix.org/events/osdi10/.
Incluso si el usuario diligentemente realiza un backup completo de su sistema todos los días, recuperarse del ataque requiere volver al backup más reciente antes del ataque, perdiendo, por tanto, cualquier cambio realizado desde entonces. Ya que muchos adversarios realizan acciones prolongadas para evitar que se descubran sus intenciones, puede tomar días o incluso semanas a un usuario descubrir que su máquina ha sido violentada, lo cual da como resultado la pérdida de todo el trabajo del usuario en ese periodo de tiempo, señalaron los investigadores.
De acuerdo a los investigadores del MIT, RETRO repara un desktop o servidor luego de que un adversario los compromete, deshaciendo los cambios del hacker pero preservando al mismo tiempo las acciones legítimas del usuario, con un mínimo de compromiso del usuario. Durante las operaciones normales, RETRO graba un gráfico histórico de acciones, que es un gráfico detallado de dependencias que describe la ejecución del sistema.
Durante la reparación, RETRO utiliza el gráfico histórico de acciones para deshacer una acción no deseada y sus efectos indirectos deshaciendo sus efectos directos, y luego re ejecutando las acciones legítimas que fueron influenciadas por ese cambio. Para minimizar el compromiso del usuario y la re ejecución, RETRO usa predicados para re ejecutar selectivamente solo las acciones que fueron semánticamente afectadas por los cambios del adversario, y usa acciones compensadoras para manejar los efectos externos, señalaron los investigadores.
Un supuesto importante de RETRO es que el atacante no compromete el kernel. Desafortunadamente, las vulnerabilidades de seguridad son descubiertas periódicamente en el Linux kernel [5, 6], haciendo que este supuesto sea potencialmente peligroso. Una solución podría ser usar técnicas basadas en máquinas virtuales, aunque es difícil distinguir los objetos del kernel luego de que un kernel se ve comprometido. Planeamos explorar formas de reducir la confianza en trabajos futuros, añadieron los investigadores.
Michael Cooney, Network World (US)