ZMap, un tool che "legge" la Grande Rete in una sola ora

Grazie al classico "uovo di colombo" informatico è stato creato un tool che consente di rilevare le dimensioni e le attività della rete con una certa facilità.

ZMap è uno scanner di rete che consente di studiare Internet a livello globale, un tool capace di sondare con una sola macchina (un buon PC) ed una connessione rapida l’intero network presente sulla faccia del pianeta Terra.

I ricercatori che ne possono fare buon uso sono tantissimi, soprattutto gli esperti di sicurezza informatica, che potranno sicuramente analizzare l’estensione e i danni arrecati dai malware in tempi incredibilmente ristretti. Secondo i calcoli degli sviluppatori di ZMap un’analisi globale è teoricamente possibile in tempistiche che vanno da 44 minuti ad un’ora, sempre che si sia serviti da un collegamento gigabit network.

Come funziona ZMap



Finora analisi del genere erano possibili ma piuttosto lente e soprattutto dispendiose. Servivano parecchi PC, e ciascuno di essi inviava i pacchetti dati e ne attendeva il ritorno (ovverosia, la risposta della macchina a cui il pacchetto era spedito), registrando questa attività e lavorando continuamente, macinando i dati. Siccome la macchina che faceva questo “sondaggio” delle connessioni di rete deve sempre restare attiva e sapere sempre quando è stato mandato un pacchetto, va da se che tale attività richiedeva un sacco di energia e tempo.

ZMap funziona in modo differente. I suoi pacchetti sono “smart”, al punto che la macchina che li spedisce non deve fare più nulla - essi vengono spediti e dimenticati. Ciascun pacchetto è di fatto un programmino che contiene tutte le informazioni rilevanti ed è in grado di registrarne di nuove. Una volta arrivato a destinazione, torna indietro e comunica tutto quello che è successo alla macchina, che non deve restare in ascolto per misurare nulla.

Questo nuovo metodo è circa 1.000 volte più rapido del precedente, e serve un hardware molto meno potente.

Che cosa è stato scoperto



ZMap è già stato in grado di scoprire qualche interessante novità della Grande Rete.

Lo standard HTTPS si sta imponendo rapidamente, nonostante qualche problema. Negli ultimi 12 mesi l’uso dell’HTTPS nei siti più importanti della rete (il famoso “top 1 million”) è aumentato del 23%.

Un altro uso interessante di ZMap è l’analisi della salute del web. Se può essere fatta in 44 minuti, questo vuol dire che si può seguire in tempo quasi reale un disastro che distrugge le connessioni. Ad esempio il terribile uragano Sandy che ha flagellato la Costa Est degli Stati Uniti era chiaramente visibile per ZMap.

Terzo dato interessante: se si può seguire la rete giorno dopo giorno, ora dopo ora, si possono anche conoscere i “cicli biologici” di questo media. La conferma che Internet sia meno trafficata nelle prime ore della mattinata non credo che vi sconvolgerà, però è una conferma interessante- I pacchetti dati “volano” alle 5 del mattino.

Tutte queste ricerche sono eclissate dal tipo di dato più interessante in assoluto che ZMap può rastrellare. Se si conosce una vulnerabilità, infatti, sapere in meno di un’ora quanti PC sono stati compromessi nel mondo è una novità eccezionale per gli operatori della sicurezza informatica.

Via | Usenix Conference

  • shares
  • Mail