Korset - nový spôsob ochrany PC

Marek Molnár  /  03. 10. 2008, 09:36

Na konferencii Black-HAT v Las Vegas predstavil profesor tel-avivskej univerzity spolu so svojím žiakom Avishai Woolom, prevratnú formu ochrany PC.

Korset je open source aplikácia, ktorá je umiestnená ako modul v samotnom  jadre systému - kerneli. Táto koncepcia umožňuje "odpáliť" škodlivý kód ešte skôr ako k útoku dôjde. Model dopredu predvída potrebné správanie sa programu. Ak sa toto od normálneho konania odlišuje, je to známkou, že niečo nie je poriadku: vysvetľuje Wool.
      
Samotná práca Korsetu sa dá rozdeliť na dve fázy. V prvom kroku sú vyhodnotené operácie, ktoré sa chystá sledovaný program spustiť resp. tie, ktoré môže daný softvér vykonať. V druhom kroku sa sleduje, či sa program správa "slušne", teda či vykonáva jednu z nich. Ak sa zistí odchýlka, softvér sa zastaví.   

      

    
Podľa Woola sa všetky operácie mimo rámca softvéru dajú považovať za
škodlivé. Je samozrejme na mieste otázka, či sa dá aj tento spôsob sledovania oklamať. Toto jednoznačne vedec nevylúčil. Účinnosť sa však dá podstatne zvýšiť použitím štatistických metód. Vopred určené operácie sú totiž dobre ohraničiteľné.  Teda, ak softvér volá zo systému funkcie, ktoré sú v rozpore s predpokladom, ide s vysokou pravdepodobnosťou o vírus.

       

Ak sa vírusu podarí prejsť cez "sito" Korsetu , nedá sa táto aplikácia použiť na dodatočné zastavenie vírusu. Je to logické, lebo riadenie už nie je v rukách Korsetu.

        
Vedec sa vyjadril aj k otázke klasického spôsobu rezidentnej ochrany pomocou antivírusov, ktoré porovnávajú v reálnom čase časti kódov spustených aplikácií. Považuje svoju metódu za účinnejšiu a vyzdvihol fakt, že Korset nepožaduje zo systému prostriedky, ako je to pri dnešných antivírusoch.

  
Okrem toho, dnešné ochrany identifikujú infiltráciu až po spustení škodlivého kódu. Okrem toho jeho identifikácia si vyžaduje relatívne dlhý čas. Nová metóda je však preventívneho charakteru.


Priznal, že ešte nejde o definitívnu verziu, a že Korset je nutné doladiť.
A čo máme robiť dovtedy, kým bude vydaná použiteľná verzia?

Vedec dáva klasické rady: Neotvárať podozrivú poštu, mať na zreteli, že banky si od nás naše prihlasovacie údaje nikdy nepýtajú a mať vždy aktuálnu verziu ochranných prostriedkov.    

Wool je zainteresovaný aj v iných podobných projektoch. So študentom Danny Nebenzahllom vyvinul spôsob ochrany Outlooku pred doteraz nedokumentovanými útokmi. Stalo sa tak v roku 2006 a teraz sa premieta ich snaha do praxe. Momentálne je aplikácia vyvíjaná pre Linux, ale keďže bude kód voľne prístupný, predpokladá sa vytvorenie mnohých mutácií, aj na iné operačné systémy

Čo dodať na záver? Ak sa nová metóda ukáže účinnou, zmení to radikálne spôsob ochrany počítačov. Na toto budú musieť rýchlo zareagovať tvorcovia antivírusov, keďže je dosť možné, že Korset sa rýchlo ujme.

zdroj: itcafe.hu

      

d3agl3

Neprehliadnite: