I ricercatori IBM hanno sviluppato un nuovo tool di intrusion detection, dal nome in codice 'Billy Goat', che non soltanto permette di identificare in anticipo gli attacchi da parte dei worm, ma anche di ridurre drasticamente il numero di falsi allarmi.
Il tool, mascherato come un server di rete, si presenta come un'esca per gli attacchi, ed è in grado di identificare tempestivamente il server di origine e di isolarlo efficacemente, evitando che worm e virus possano propagarsi ulteriormente.

"L'integrità delle transazioni finanziarie, la riservatezza nell'ambito di una virtual enterprise, la privacy dei dati relativi ai clienti e la disponibilità di un'infrastruttura critica dipendono da solidi meccanismi di sicurezza", ha affermato Peggy Kennelly, Vice President della divisione On Demand Innovation Services (ODIS) di \IBM¤.

"Le divisioni IBM Research e IBM Business Consulting Services sono impegnate a offrire soluzioni di alto livello contro le minacce quotidiane per la sicurezza, efficaci per aziende di ogni dimensione".

La caratteristica più importante di un sistema per il rilevamento delle intrusioni efficace deve essere l'immunità dai falsi allarmi generati dai sensori. Il sistema Billy Goat minimizza i falsi allarmi grazie all'utilizzo di una nuova architettura che combina una virtualizzazione completa della rete, una interazione fittizia tra i servizi e le potenziali minacce, ed un focus sulla capacità di rilevazione di attacchi automatici.

“L'approccio adottato dal sistema Billy Goat permette di identificare il software pericoloso rispondendo alle richieste inviate ad indirizzi IP inutilizzati e presentando quella che agli occhi dei worm appare come una rete completa di macchine e servizi”, ha precisato James Riordan, lead designer del sistema presso il laboratorio di ricerca IBM di Zurigo.

“In altri termini, il sistema Billy Goat dà vita a un ambiente virtuale per i worm. Tale virtualizzazione, presentando servizi fittizi e registrando i tentativi di connessione con essi, permette al sistema Billy Goat di scoprire i worm rivelandone l'identità. Questo approccio pone il sistema nella condizione di identificare in maniera semplice e rapida le macchine infette collegate alla rete”.

Una delle più gravi minacce per la sicurezza è rappresentata dagli attacchi automatici a propagazione autonoma come quelli portati da virus e worm. Tali attacchi analizzano i server di rete in maniera casuale fino a quando riescono ad inserire su una macchina un programma. Questo programma utilizza il server, ora infetto, per attaccare altre macchine. La conseguenza diretta è la rapida crescita esponenziale del numero di attacchi fino al crollo della rete a causa del sovraccarico.

 Mentre l'esistenza di tali attacchi non rappresenta certo una novità, i danni che essi sono in grado di infliggere e la velocità con la quale possono propagarsi sono cresciuti enormemente. L'implementazione di sistemi e tecniche efficaci per il rilevamento delle intrusioni, come Billy Goat, permette di identificare i problemi per la sicurezza prima che possano arrecare danni.

Billy Goat è stato sviluppato dal team di IBM On Demand Innovation Services (ODIS), una partnership formata dalle divisioni IBM Research e IBM Business Consulting Services con l'obiettivo di aiutare i clienti a beneficiare del know-how tecnologico di IBM Research unitamente alle competenze dei consulenti IBM. Il team ODIS fornisce servizi per la sicurezza e la privacy destinati a sistemi biometrici, Digital Rights Management, gestione delle identità, prevenzione delle intrusioni, sicurezza e tutela della privacy.