Скотт Коулл (Scott Coull) из Университета Северной Каролины (University of North Carolina) в Чапел-Хилл и Болеслав Жимански (Boleslaw Szymansky) из Ренселлеровского политехнического института (Rensselaer Polytechnic Institute) в Трое, Нью-Йорк, пожелали изменить такое положение вещей. Они разработали систему отражения атак опасных вредоносных червей путем встраивания защитных механизмов в ключевые узлы сети – нечто сродни иммунной системе. Чтобы осознать ограничения текущих стратегий защиты, можно вообразить эпидемию, связанную с биологическим вирусом. Крупнейшие аэропорты мира решают не выпускать пассажиров из самолетов, прибывающих из зараженных регионов, но позволяют воздушным судам вылететь в другие части света. "Очевидно, локальная территория, обслуживаемая аэропортом, будет защищена, но как насчет остальных регионов, куда лайнер отправится далее?", - задается вопросом Коулл. Гораздо эффективнее ввести относительно самолетов с инфицированными пассажирами карантин и предотвратить их перемещение куда-либо.

Коулл и Жимански предлагают простое решение остановки распространения червей по интернету. Часть копируемого кода червя сканирует случайным образом выбранные компьютеры на предмет наличия уязвимостей, которые можно использовать. Найдя машину с "дырой", вредоносное ПО копирует себя на ее носитель и уже оттуда начинает процесс заново. Уровень опасности зависит от двух критериев: как много существует компьютеров с соответствующими проблемами с безопасностью и как быстро червь способен их обнаружить. Чтобы выяснить, как оградить компьютер от этих угроз более эффективно, исследователи решили смоделировать деятельность червя, заражающего каждую секунду по 4300 хостов. Они предположили, что 1% всех компьютеров сети уязвимы, хотя на самом деле нет программы, которая бы заразила такое количество ПК. Их "Slammer" получился еще опаснее, чем оригинал. Ключ к сдерживанию подобных червей заключается в объединении усилий по защите компьютерных систем, составляющих ядро интернета. Оно представляет собой десятки тысяч так называемых "автономных систем", каждая из которых управляется интернет-провайдером (ISP).

В симуляции исследователи придали каждой автономной системе способность обнаруживать присутствие инфицированного компьютера, который будет проявлять активность в виде беспорядочных попыток соединиться с другими машинами. Как только система зафиксирует опасность в некоторой части сети, она перестанет получать и отправлять пакеты данных с этих ПК, изолировав их, и одновременно проинформирует об угрозе остальные подобные себе узлы. Для минимизации ложной тревоги принятие мер начнется только после достижения количества сообщений об атаке некоторого порога. Когда же истинность угрозы будет подтверждена, все автономные системы смогут "отрезать" инфицированные машины от коммуникаций, нейтрализуя червя. Чтобы стратегия сработала, согласно проведенной симуляции около 30-35% автономных узлов должны быть задействованы в кооперации по отражению сетевого нападения.

Конечно, развертывание такой обороны потребует взаимодействия управляющих автономными системами организаций и структур и взаимного доверия между ними, говорит Коулл. Необходимо внести изменения в сетевую инфраструктуру и гарантировать возможность пресечь поток вредоносного трафика через каналы ISP, которым предстоит заключить целенаправленные соглашения. Как отмечает исследователь, отсутствие усилий в данном направлении приведет к потенциально еще большим затратам на восстановление работоспособности сети в случае реализации угрозы. Эксперт по компьютерной безопасности компании Hewlett-Packard Адриан Болдуин (Adrian Baldwin) считает, что провайдеры неохотно пойдут на ограничение функционирования или карантинные меры для машин, критических с точки зрения бизнеса. Принятие таких правил игры, которые усилят потенциальную защищенность, поставит ISP перед выбором между остановкой распространения червей и сохранением доступа клиентов к сетевым ресурсам. "Понадобится решить, каковы выгоды от блокирования трафика по сравнению с понесенными при этом потерями в плане бизнеса", - поясняет специалист. Провайдеры могут предпочесть потратить финансы на ускорение обновления ПО и закрывание обнаруженных "дыр". Как бы там ни было, черви остаются заметной и растущей угрозой, особенно учитывая увеличение инфраструктуры интернета в том числе за счет перемещения во всемирную паутину информационных потоков государственных институтов. Но если провайдеры согласятся с аргументами разработчиков "иммунитета", борьба с еще одной сетевой напастью – спамом – также станет эффективнее.