hit counter
Conficker e il paradosso dei Compleanni - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Conficker e il paradosso dei Compleanni

Conficker e il paradosso dei Compleanni

  • Comments 3
  • Likes

[English version below: "Birthday Problem and Conficker"]

Se amate la matematica e l’analisi tecnica di Conficker vi sta affascinando, non dovete perdere di leggere questo post del MMPC blog:

Birthday Problem and Conficker

In breve: analizzando la dinamica di aggiornamento dell’ultima variante Conficker.D, quella che porta ogni sistema infetto a scegliere a caso 500 URL da contattare su un possibile range di 50000 URL pseudo-casuali, si scopre quanto sia difficile la battaglia per arginare la propagazione di questo worm dal momento che è sufficiente che chi ha creato Conficker registri solo l’1% del range a disposizione (quindi solo 500 URL su 50000 possibili) per ottenere che ogni PC infetto con questa variante abbia il 99% di probabilità di contattare almeno uno di questi siti registrati (e quindi di scaricare nuovo malware). Di fatto è una analisi legata al famoso problema matematico noto come il paradosso dei compleanni.

Per fortuna che l’opera di contrasto può far leva sul fatto che gli operatori in grado di registrare nuovi domini DNS, in base al Top Level Domain (TLD) siano pochi … :-). Interessante anche il fatto che la stessa analisi matematica può essere sfruttata per capire il numero di sistemi infetti (magari così si riuscirebbe a mettere ordine rispetto ai “numeri al lotto” di cui si sente parlare sul web ;-).

Incredibile!

Altri post/risorse correlate:

==============================================================

Birthday Problem and Conficker

If you love mathematics and the technical analysis of Conficker, you shouldn’t miss to read this MMPC post:

Birthday Problem and Conficker

In short: analyzing the update dynamics of last variant Conficker.D, that each infected PC chooses 500 URLs from a possible range of 50000 pseudo-random URLs, shows how difficult the battle to stem the spread of this worm is, since it is sufficient by Conficker authors to register only 1 % of the range available (then only 500 URLs on 50000 possible URLs) to gain that every infected PC has the 99 % of likelihood to be able to contact at least one of these registered sites (and so to download new malware). It is an analysis linked to the famous mathematical problem known as the the birthday paradox.

Fortunately, the work of contrast can leverage on the fact that operators who can register new DNS domains, according to the Top Level Domain (TLD) are few… :-). Also interesting that the same mathematical analysis can be used to understand the number of infected systems (perhaps this would put order compared to the "the lottery numbers" you hear about on the web ;-).

Amazing!

Other related posts/rosources:

Comments
  • Ciao,

    visita questo link mi ha risolto i problemi sulla mia rete http://mtc.sri.com/Conficker/addendumC/

    è un analizzatore di rete scritto in c.

  • Ciao,

    avendo dovuto risolvere diverse infezioni del worm Conficker, ho scritto una piccola guida, sulle strategie e sugli strumenti che ho utilizzato, per arginare e debellare il worm Conficker che mi auguro vi possa essere utile. Il link alla mia guida è http://www.homeworks.it/Html/Come_Sconfiggere_Conficker.html

    Vorrei infine ringraziare Feliciano Intini per il suo splendido Blog.

  • @Max232: grazie del link, avevo già segnalato il report SRI in un post su Conficker.B.

    @Alessandro: ti ringrazio dei complimenti al mio blog ma li ricambio volentieri: ho dato una veloce scorsa alla tua pagina e mi sembra davvero ricca di dettagli. Ogni risorsa utile per aiutare il contrasto a Conficker è assolutamente benvenuta!

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment