8.

Transcript

1 1. ΣΥΓΓΡΑΦΕΙΣ 2. Βασίλειος Βλάχος, Βασιλική Βούζη και Διομήδης Σπινέλλης 3. ΠΑΝΕΠΙΣΤΗΜ 4. Οικονομικό Πανεπιστήμιο Αθηνών ΙΟ 5. ΤΜΗΜΑ 6. Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας ΤΙΤΛΟΣ ΕΡΓΑΣΙΑΣ: PROMIS- PROactive Malware Identification System ΠΕΡΙΛΗΨΗ Η έξαρση κακόβουλης δραστηριότητας τα τελευταία χρόνια εξαιτίας της ραγδαίας εξάπλωσης του Internet καθώς και η εμφάνισης μια νέας γενιάς ταχέως εξαπλώμενου ιογενούς λογισμικού, έχει καταστήσει ανεπαρκή τη χρήση συμβατικών προγραμμάτων προστασίας. Η εφαρμογή PROMIS που προτείνουμε έχει σαν σκοπό την αναγνώριση της κακόβουλης δραστηριότητας στο Διαδίκτυο χρησιμοποιώντας μια αρχιτεκτονική βασισμένη σε ομότιμα δίκτυα και την λήψη των κατάλληλων περιοριστικών μέτρων ασφαλείας για την προστασία υπολογιστικών συστημάτων. ΛΕΞΕΙΣ ΚΛΕΙΔΙΑ: ομότιμα δίκτυα, κακόβουλο λογισμικό ΕΙΣΑΓΩΓΗ Η μείωση του κόστους των προσωπικών υπολογιστών καθώς και η ευκολία χρήσης που προέκυψε από την χρησιμοποίηση φιλικών προς τον χρήστη προγραμμάτων προκάλεσε την ραγδαία εξάπλωση τους και τους κατέστησε προσιτούς σε ένα ευρύ αριθμό ανθρώπων που δεν διαθέτουν ιδιαίτερο τεχνολογικό υπόβαθρο. Οι χρήστες αυτοί επιτελούν σημαντικό μέρος, αν όχι το σύνολο των καθημερινών εργασιών τους, άλλα και πολλών ψυχαγωγικών δραστηριοτήτων με αυτούς. Επιπρόσθετα η ταχύτατη εξάπλωση του Internet και ιδιαίτερα η ύπαρξη ευροζωνικών συνδέσεων σε προσιτό κόστος, άλλα και η κατακόρυφη αύξηση των ασύρματων συνδέσεων επέτρεψε σε ένα μεγάλο ποσοστό των χρηστών να είναι καθολικά συνδεδεμένοι. Τα οφέλη από τις εξελίξεις αυτές είναι εμφανή. Παρά ταύτα η εξάρτηση της κοινωνία μας σε τόσο μεγάλο βαθμό από τα υπολογιστικά συστήματα την καθιστά ευπαθή σε απειλές που προέρχονται από το κακόβουλο λογισμικό. Ειδικότερα τα τελευταία τέσσερα χρόνια η εξάπλωση του κακόβουλου λογισμικού σε πέντε τουλάχιστον περιπτώσεις (Code Red - Code Redv2, Code Red II, Nimda, Slammer, Blaster, Witty) [-] έλαβε επιδημικές διαστάσεις θέτοντας σε δοκιμασία κρίσιμα υποσυστήματα της κοινωνίας μας με ιδιαίτερα σοβαρές οικονομικές επιπτώσεις. Μεγάλες εταιρίες άλλα και οικονομικοί οργανισμοί υπέστησαν σοβαρές δυσλειτουργίες και οικονομικό κόστος και απαιτήθηκαν πολλές ανθρωπομέρες προκειμένου τα υπολογιστικά τους συστήματα να επανέλθουν πλήρως. Τα παραπάνω είναι ιδιαίτερα ανησυχητικά εάν αναλογιστεί κανείς ότι τέτοιου μεγέθους οργανισμοί διαθέτουν εξειδικευμένο προσωπικό για την υποστήριξη και προφύλαξη των πληροφοριακών τους συστημάτων. Αντίθετα, οι απλοί χρήστες δεν έχουν την δυνατότητα ούτε τις γνώσεις για να προστατεύσουν τα συστήματά τους επαρκώς. Επιπρόσθετα, επιστημονικές μελέτες αποδεικνύουν ότι είναι απόλυτα εφικτή η κατασκευή κακόβουλου κώδικά ικανού να πλήξει το σύνολο των ευπαθών συστημάτων σε χρόνο σίγουρα μικρότερο των 15 λεπτών και ίσως και του ενός λεπτού [-]. Τα εν λόγω είδη κακόβουλου λογισμικού φέρουν τα άκρως περιγραφικά ονόματα Warhol worms και Flash worms αντίστοιχα. Οι χρόνοι αυτοί είναι πέρα από κάθε ανθρώπινη αντίδραση ακόμα για τους πλέον ειδικούς επιστήμονες σε θέματα ασφαλείας. Εάν προστεθεί και ο απαιτούμενος χρόνος για την συλλογή και απομόνωση του κακόβουλου κώδικα καθώς και η εξαγωγή υπογραφών για τα αντι-ιοικά προγράμματα, η δοκιμή τους καθώς και ο χρόνος για να λάβουν τις ενημερωμένες αναβαθμίσεις οι χρήστες γίνεται αντιληπτό το μέγεθος της απειλής. Από την άλλη πλευρά η απενεργοποίηση για λόγους ασφαλείας πολλών χρήσιμων και ευχάριστων εφαρμογών και υπηρεσιών θα προκαλούσε έντονη δυσαρέσκεια σε μεγάλη μερίδα χρηστών οι οποίοι επιθυμούν την χρησιμοποίηση τους. Με στόχο την προστασία των υπολογιστικών συστημάτων απλών κυρίως χρηστών προτείνουμε μια εφαρμογή η οποία μπορεί να εκτιμήσει την εξελισσόμενη κακόβουλη δραστηριότητα στο Internet, να προειδοποιήσει τον χρήστη και να λάβει αντί αυτού τα απαραίτητα προστατευτικά μέτρα, εάν το επιθυμεί. Στις ενότητες που ακολουθούν αναφέρεται λεπτομερώς η αρχιτεκτονική της εφαρμογής, απαριθμούνται οι λειτουργίες της, και περιγράφεται η διαδικασία υλοποίησής της. ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΦΑΡΜΟΓΗΣ Θεωρούμε ότι η πληροφορία που μπορεί να έχει ένας χρήστης παρακολουθώντας τοπικά το σύστημα του είναι ανεπαρκής για να συμπεράνει, ακόμα και αν είναι ιδιαίτερα έμπειρος σε θέματα ασφαλείας, εάν κάποια επιδημία κακόβουλου λογισμικού λαμβάνει χώρα. Αντίθετα, είναι σαφώς ευκολότερο και εφικτό να διαπιστωθεί η ύπαρξη

2 επιδημίας κακόβουλου λογισμικού εάν συγκριθούν τα αρχεία καταγραφής περιστατικών ασφαλείας μεγάλου αριθμού χρηστών. Ωστόσο, είναι εξαιρετικά δύσκολο οι χρήστες ενός ομότιμου δικτύου ειδικά δημιουργημένου για αυτό το σκοπό να ανταλλάσσουν συνεχώς τα αρχεία καταγραφής περιστατικών τους, λόγω του φόρτου που θα εισαγάγανε στο διαδίκτυο, καθώς και γιατί θα απαιτείτο σημαντική επεξεργαστική ισχύ από κάθε κόμβο για να αναλύσει όλα τα αρχεία αυτά. Επιπρόσθετα, τα αρχεία αυτά εμπεριέχουν αρκετά δεδομένα τα οποία θεωρούνται εμπιστευτικά. Στην δική μας προσέγγιση αντίθετα μεταδίδουμε σε όλα τα μέλη του ομότιμου δικτύου ανά τακτά μικρά χρονικά διαστήματα μόνο το ρυθμό μεταβολής περιστατικών που καταγράφεται τοπικά σε κάθε σύστημα, δηλαδή το ποσοστό αύξησης ή μειώσης περιστατικών ασφαλείας σε κάθε σύστημα τοπικά (Εξίσωση 1). Δεδομένου ότι παρακολουθούμε το σύστημα μας ανά τακτά μικρά χρονικά διαστήματα (μικρότερα των 15 λεπτών), μπορούμε να εξάγουμε το ρυθμό μεταβολής των περιστατικών ασφαλείας για τα τελευταία χρονικά διαστήματα (το ενδέχεται να πάρει οποιαδήποτε τιμή θεωρηθεί πιο κατάλληλη). Παράλληλα, κάθε κόμβος της εφαρμογής μας συγκεντρώνει όλους τους ρυθμούς μεταβολής των λοιπών κόμβων του ομότιμου δικτύου και υπολογίζει το μέσο συνολικό ρυθμό μεταβολής του ομότιμου δικτύου (Εξίσωση 2). h n t p n t = h n i i =t h n i i=t Εξίσωση 1 :Τοπική κακόβουλη δραστηριότητα p avg = n i =1 P t i Εξίσωση 2 : Συνολική κακόβουλη δραστηριότητα του ομότιμου δικτύου n Πίνακας 1: Σημασιολογία Μεταβλητών Εξισώσεων 1 και 2 t h p n l high l low Χρονικό Διάστημα Αριθμός Επιθέσεων Αθροιστικό ποσοστό επιθέσεων σε ένα σύνολο χρονικών διαστημάτων ID κόμβου Αριθμός τελευταίων χρονικών διαστημάτων Προκαθορισμένο άνω όριο ασφαλείας Προκαθορισμένο κάτω όριο ασφαλείας Η εφαρμογή μας αποτελείται από δυο διακριτές υπηρεσίες την Handler και την Notifier. Η υπηρεσία Notifier έχει σαν σκοπό την παρακολούθηση του αρχείου καταγραφής του τοπικού συστήματος ανά τακτά χρονικά διαστήματα και την εξαγωγή του ρυθμού μεταβολής τους με βάση την Εξίσωση 1. H Handler λαμβάνει τον ρυθμό μεταβολής των περιστατικών ασφαλείας από όλα τα μέλη του ομότιμου δικτύου και εν συνεχεία υπολογίζει τον μέσο συνολικό ρυθμό μεταβολής περιστατικών ασφαλείας του ομότιμου δικτύου μέσω της Εξίσωσης 2. Εάν ο μέσος ρυθμός μεταβολής επιθέσεων του ομότιμου δικτύου υπερβεί το προκαθορισμένο όριο επικινδυνότητας τότε ακολουθείται η αυστηρή πολιτική ασφαλείας, αντίθετα, αν ο μέσος ρυθμός μεταβολής επιθέσεων βρίσκεται κάτω από το όριο εφησυχασμού τότε επιλέγεται η μη αυστηρή πολιτική ασφάλειας Η αρχιτεκτονική του συστήματος φαίνεται στο Σχήμα 1 ενώ οι επιμέρους λειτουργίες των υπηρεσιών Handler και Notifier στο Σχήμα 2. Γνωρίζοντας κάθε στιγμή το μέσο ρυθμό μεταβολής του ομότιμου δικτύου είμαστε σε θέση να συμπεράνουμε εάν κάποια επιδημία κακόβουλου λογισμικού βρίσκεται σε εξέλιξη και να προσαρμόσουμε κατάλληλα την πολιτική ασφαλείας ή αν μεμονωμένα το σύστημα του χρήστη εμφανίζει δυσλειτουργίες οφειλόμενες είτε σε στοχευόμενη επίθεση προς τον συγκεκριμένο χρήστη είτε λόγω κάποιου τεχνικού προβλήματος. Σε περίπτωση επιδημίας κακόβουλου λογισμικού, εάν δηλαδή ο μέσος ρυθμός περιστατικών ασφαλείας ξεπεράσει κάποιο προκαθορισμένο

3 όριο ασφαλείας, δηλαδή αν p > ang l high, τότε αυξάνεται η πολιτική ασφαλείας του συστήματος, ενώ αν l low < p avg < l high δεν πραγματοποιείται καμία αλλαγή στην πολιτική ασφαλείας του συστήματος, ενώ αν p < avg l low η πολιτική ασφαλείας μειώνεται. Η πολιτική ασφαλείας του συστήματος μεταβάλλεται με την εφαρμογή προκαθορισμένων αντιμέτρων. Τα αντίμετρα περιλαμβάνουν την αλλαγή του επιπέδου ασφαλείας δημοφιλών εφαρμογών όπως ο Internet Explorer και το Microsoft Outlloo άλλα και την παύση ορισμένων μη κρίσιμων υπηρεσιών. Μόλις ο μέσος ρυθμός μεταβολής των περιστατικών ασφαλείας εμφανίσει κάμψη σύμφωνα με τις παραπάνω εξισώσεις οι υπηρεσίες αυτές επαναενεργοποιούνται. Πεποίθηση μας είναι ότι αριθμός των περιστατικών ασφαλείας σε ένα δίκτυο υπολογιστών δεν είναι αντιπροσωπευτικός της επικινδυνότητας που επικρατεί συνολικά στο διαδίκτυο διότι όταν ένας Server που καταγράφει καθημερινά 1000 περιστατικά ασφαλείας καταγράψει 1100 τότε με βάση την εξίσωση 1 θα έχει μεταβολή 10%, αντίθετα ένας άλλος κόμβος που καταγράφει 50 εάν καταγράψει 150 θα έχει μεταβολή 200%, συνεπώς ενώ και στις δύο περιπτώσεις υπάρχει μια αύξηση των περιστατικών ασφαλείας κατά 100, η ποσοστιαία μεταβολή είναι μόνο 10% στην πρώτη περίπτωση, ενώ στην δεύτερη περίπτωση είναι 2 φορές μεγαλύτερη ήτοι 200%. Για το λόγο προτιμούμε να χρησιμοποιήσουμε αντί για τον αριθμό των περιστατικών ασφαλείας ως ενδεικτικό στοιχείο ύπαρξης ή μη επιδημίας κακόβουλου λογισμικού τον ρυθμό μεταβολής των περιστατικών ασφαλείας. Σχήμα 1.Αρχιτεκτονική Συστήματος Τα απαραίτητα προστατευτικά μέτρα προφανώς εξαρτώνται από πολλούς παράγοντες. Είναι σαφές ότι οι ανάγκες για την προστασία του υπολογιστή ενός απλού χρήστη διαφέρουν από αυτές ενός Server μιας μεγάλης εταιρίας. Η προτεινόμενη αρχιτεκτονική σαφέστατα δεν σκοπεύει σε καμία περίπτωση να αντικαταστήσει τα παραδοσιακά συστήματα προστασίας (Συστήματα Ανίχνευσης Εισβολέων, αντι-ιοικά προγράμματα, τοίχοι ασφαλείας κλπ.) και συνιστούμε αν υπάρχει η δυνατότητα να εγκατασταθούν. Στόχος μας είναι να δώσουμε μια εποπτική εικόνα της συνολικής κατάστασης του Διαδικτύου και στην περίπτωση που υπάρχουν ενδείξεις για κάποια επιδημία ταχέως εξαπλώμενου κακόβουλου λογισμικού ή κάποιων άλλων περιέργων φαινόμενων να ληφθούν τα απαραίτητα και στοιχειώδη προστατευτικά μέτρα. Η αρχιτεκτονική της συγκεκριμένης εφαρμογής δεν είναι σε θέση να προστατεύσει απέναντι σε συγκεκριμένο τύπο κακόβουλου λογισμικού άλλα αντίθετα να περιορίσει υπηρεσίες που σε γενικές γραμμές είναι βολικές και εύχρηστες άλλα παράλληλα αποτελούν συνήθη τρόπο προσβολής ενός συστήματος. Χαρακτηριστικά παραδείγματα τέτοιων υπηρεσιών είναι η προεπισκόπηση HTML, η χρησιμοποίηση Active X controls, η ενεργοποίηση των μακρο-εντολών και άλλα.

4 NOTIFIER HANDLER Αναμονή εισερχόμενου μηνύματος Υπολογισμός μέσου ρυθμού μόλυνσης Έλεγχος log files Υ Μικρότερο του κάτω ορίου Ν Υπολογισμός ρυθμού μόλυνσης Μεγαλύτερο του κάτω ορίου Ν Υ Αύξηση επιπέδου ασφαλείας Αποστολή προειδοποιητικού μηνύματος Μείωση επιπέδου ασφαλείας Σχήμα 2. Ροή Εργασιών των Handler και Notifier Είμαστε πεπεισμένοι ότι η πλειοψηφία των χρηστών θα επικροτούσε μια περιορισμένη στέρηση κάποιων δημοφιλών υπηρεσιών, όπως πχ η συμμετοχή σε δικτυακά παιχνίδια ή η προβολή μηνυμάτων ηλεκτρονικού ταχυδρομείου σε μορφή HTML αντί απλού κειμένου για περιορισμένο χρονικό διάστημα (όσο δηλαδή η επιδημία κακόβουλου λογισμικού βρίσκεται σε έξαρση) προκειμένου να προστατευθεί από κάποιο ιό ή δικτυακό σκουλήκι. Επιπρόσθετα, η ενημέρωση του χρήστη για την έξαρση επιδημιών επιζήμιου κώδικα τον καθιστά ιδιαίτερα επιφυλακτικό σε επιθέσεις κοινωνικής μηχανικής (social engineering), η οποία χρησιμοποιείται ευρύτατα για να πείσει χρήστες είτε να εκτελέσουν στον υπολογιστή τους ιομορφικό λογισμικό είτε να εισάγουν σε ψεύτικους ιστότοπους εμπιστευτικά προσωπικά τους στοιχεία (αριθμούς πιστωτικών καρτών κλπ). ΥΛΟΠΟΙΗΣΗ Στην υλοποίηση της εφαρμογής PROMIS χρησιμοποιήσαμε ένα σύνολο διαφορετικών εργαλείων και διεπαφών προγραμματιστικών εφαρμογών (API Application Programming Interfaces) την περιγραφή και λειτουργικότητα των οποίων παραθέτουμε στη συνέχεια. 9. Windows XP Peer-to-Peer API Η παρούσα εφαρμογή χρησιμοποιεί το Windows XP Peer-to-Peer API που αναπτύσσεται πάνω στο πρωτόκολλο δικτύου IPv6. Κάθε κόμβος του δικτύου χαρακτηρίζεται από μία μοναδική ταυτότητα η οποία αποθηκεύεται τοπικά σε κάθε υπολογιστή. Ένας κόμβος δύναται να είναι ιδιοκτήτης μιας ομάδας κόμβων και να στέλνει προσκλήσεις σε άλλους κόμβους με σκοπό να προστεθούν στην ομάδα του. Ο ιδιοκτήτης ομάδας χρησιμοποιεί το Peer-to-Peer Grouping API για τη δημιουργία προσκλήσεων με βάση μια συγκεκριμένη ταυτότητα δικτύου και στη συνέχεια αποστέλει την πρόσκληση στο χρήστη που ζήτησε άδεια εισόδου στην ομάδα του. Η πρόσκληση είναι ένα XML αλφαριθμητικό που προκύπτει από την μοναδική ταυτότητα του κάθε χρήστη. Για να εισέλθει ένας χρήστης σε κάποια ομάδα θα πρέπει να κατέχει μια μοναδική ταυτότητα καθώς και το αρχείο της πρόσκλησης που αντιστοιχεί στη συγκεκριμένη ταυτότητα. Από τη στιγμή που ο χρήστης εισέλθει στην ομάδα έχει τη δυνατότητα να στείλει την απαραίτητη πληροφορία (Τοπική Δραστηριότητα Κακόβουλου Λογισμικού) στην ομάδα. 10. Microsoft LogParser Ο LogParser είναι ένα εργαλείο που προσφέρεται μαζί με την οικογένεια προϊόντων εργαλείων του IIS (Internet Information Services). Η πρώτη ουσιαστική και κρίσιμη λειτουργία της παρούσας εφαρμογής είναι η ανάλυση των αρχείων καταγραφής του ICF. Η ανάλυση αυτή πραγματοποιείται περιοδικά σε διάστημα 150 λεπτών (900 δευτερόλεπτα) και υπολογίζει αθροιστικά τον αριθμό των επιθέσεων που δέχτηκε ο υπολογιστής σε κάθε χρονικό διάστημα. Η καινοτομική αρχή που προσδίδει η χρήση του LogParser είναι η γέφυρα SQL (SQL Bridge) που δημιουργείται μεταξύ αυτού και του αρχείου του τοίχου ασφαλείας (firewall) καθιστόντας την μεταβολή του χρονικού διαστήματος ανάλυσης εύκολη μέσω παραμετροποιημένων ερωτημάτων (parameterized queries).

5 Log Parser.dll FROM TO SQL Command SELECT QUANTIZE() pfirewall.log LocalStatus.log Application Interface Other Peers Status Networ Status.log Σχήμα 3. Λειτουργία Log Parser ΣΥΜΠΕΡΑΣΜΑΤΑ H εφαρμογή PROMIS μπορεί να συμβάλλει σημαντικά στην περαιτέρω αύξηση της ασφάλειας του λειτουργικού συστήματος Windows XP. H μεγάλη εγκατεστημένη βάση των Windows XP μας προσφέρει την δυνατότητα να αναγνωρίσουμε έγκαιρα απόπειρες εξάπλωσης κακόβουλου λογισμικού βασιζόμενοι σε ένα κοινό πλαίσιο χωρίς να αντιμετωπίζουμε προβλήματα σχετιζόμενα με το πλήθος των διαφορετικών αρχιτεκτονικών και υλοποιήσεων άλλων λειτουργικών συστημάτων. Επιπρόσθετα, πιστεύουμε ότι η λειτουργία του συστήματος PROMIS θα καταστήσει και τους πλέον άπειρους χρήστες πιο προσεκτικούς και ενεργούς σε ζητήματα ασφαλείας. Ειδικότερα επιθέσεις που κάνουν χρήση κοινωνικής μηχανικής θα αντιμετωπίσουν δυσκολίες στο να πείσουν τους χρήστες να εκτελέσουν επιζήμιο λογισμικό εάν είναι ήδη πληροφορημένοι ότι εκτεταμένη κακόβουλη δραστηριότητα βρίσκεται σε εξέλιξη. Πρέπει να τονίσουμε ότι η ενεργοποίηση και απενεργοποίηση των διαφόρων προστατευτικών μέτρων είναι προσωρινή (μόνο όταν υπάρχει ραγδαία αύξηση ή μείωση του ρυθμού μεταβολής περιστατικών ασφαλείας) και λαμβάνει χώρα μόνο αν ο χρήστης επιλέξει την αυτόματη λειτουργία της. Παράλληλα, τα όρια μεταβολής των καταστάσεων, παρ ότι αυτά είναι ήδη προκαθορισμένα, είναι στην διακριτική ευχέρεια του χρήστη να τα τροποποιήσει. Η μέχρι τώρα εμπειρία μας έχει δείξει ότι οι χρήστες επιθυμούν να κάνουν χρήση των πλούσιων δυνατοτήτων που τους παρέχουν οι σύγχρονες εφαρμογές, ωστόσο ορισμένες από τις προσφερόμενες δυνατότητες είναι δυνατόν να αποτελέσουν σημείο εισόδου κακόβουλου λογισμικού. Με την εφαρμογή PROMIS επιτρέπουμε στον χρήστη να απολαύσει όλα τα πλεονεκτήματα και την ευκολία χρήσης των παραπάνω εφαρμογών στερώντας του τη δυνατότητα αυτή για συγκεκριμένα και περιορισμένα χρονικά διαστήματα μόνο όταν αυτό κρίνεται απαραίτητο για λόγους ασφαλείας. ΕΥΧΑΡΙΣΤΙΕΣ Ευχαριστούμε ιδιαίτερα τους Νικόλαο Κορφιάτη και Μάρτιν Παπαδάτο για την εξαιρετική συνεργασία που είχαμε κατά την ανάπτυξη του συστήματος PROMIS, τον Ανδρέα Ράπτη για τα εποικοδομητικά σχόλιά του κατά τη συγγραφή της εργασίας, καθώς και την Microsoft Hellas η οποία μας τίμησε επιλέγοντας το σύστημα μας ως το τρίτο καλύτερο στα πλαίσια του εθνικού διαγωνισμού Imagine Cup Μέρος της έρευνας αυτής υποστηρίζεται από το πρόγραμμα «ΗΡΑΚΛΕΙΤΟΣ Υποτροφίες Έρευνας στο Οικονομικό Πανεπιστήμιο Αθηνών» που συγχρηματοδοτείται κατά 75% από το Ευρωπαϊκό Κοινωνικό Ταμείο. ΒΙΒΛΙΟΓΡΑΦΙΑ 1.David Moore, Colleen Shannon, and Jeffery Brown. Code-red: a case study on the spread and victims of an internet worm. In Proceedings of the Internet Measurement Worshop, D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the slammer worm. IEEE Security & Privacy, pages 33 39, July C. Shannon and D. Moore. The spread of the witty worm. IEEE Security & Privacy, 2(4):46 50, July A. Macie, J. Roculan, R. Russell, and M. VanVelzen. Nimda worm analysis - incident analysis report version ii. Technical report, Security Focus, September S. Staniford, V. Paxson, and N. Weaver. How to 0wn the internet in your spare time. In Proceedings of the 11th USENIX Security Symposium, pages , August N. Weaver, V. Paxson, S. Staniford, and R. Cunningham. Large scale malicious code: A research agenda. Darpa sponsored report.

6 7.N. Weaver, V. Paxson, and S. Staniford. A worst-case worm. In Proceedings of the Third Annual Worshop on Economics and Information Security (WEIS04), May Vasileios Vlachos, Stefanos Androutsellis-Theotois and Diomidis Spinellis, "Security Applications of Peer-to-peer Networs", Computer Networs (Elsevier Science), Volume 45, Issue 2, pp , June 2004