Zelfherstellende software pakt malware aan! Software, genees jezelf!


Wat als netwerken en applicaties automatisch indringers van malware kunnen detecteren, eventuele schade kunnen herstellen en vervolgens de deur kunnen dichtslaan voor verdere infecties van hetzelfde type? Lijkt iets uit science fiction op Star Trek-niveau, maar dankzij onderzoekers van de Universiteit van Utah komt dit soort zelfherstellende software naar een Linux-gebaseerde zakelijke of militaire server bij jou in de buurt. Malware: wees bang. Wees erg bang.

Ik zie wat je daar doet

Het grootste probleem met antivirusprogramma’s? Ze vertrouwen op lijsten, witte lijsten voor legitieme code en zwarte lijsten voor software die wordt geleverd met een schadelijke payload. Maar omdat hackers hun missie maken om nieuwe en steeds meer verborgen infecties te creëren, zijn virusdetectoren altijd een stap achter op de slechteriken. Dit plaatst bedrijven op een moeilijke plek. Hoogwaardige antivirus kan een netwerk laten vastlopen en zelfs servers offline halen, terwijl het kiezen voor een “wat kan komen” -benadering uw systeem in brand zou kunnen laten.

Niet zo met A3 of Advanced Adaptive Applications, die niet gebonden is aan typische regels voor zoeken en vernietigen. Samen met defensiecontractant Raytheon BBN en een onhandig genoemd DARPA-programma – Clean-Slate Design of Resilient, Adaptive, Secure Hosts – bedacht Eric Eide van de University of Utah en zijn team een ​​manier voor A3 om een ​​netwerk te detecteren, te repareren en te versterken verdediging op elke op Linux gebaseerde virtuele machine (VM).

Dit is hoe het werkt: A3 gebruikt eerst een set “stapelbare debuggers”, die allemaal in realtime worden uitgevoerd en de VM doorzoeken op vreemde activiteiten. En in tegenstelling tot typische virussoftware, is dit beveiligingsprogramma niet op zoek naar specifieke code, maar naar ongewoon computergedrag. Als er malware wordt gevonden, stopt A3 welk proces ook is gestart, benadert een oplossing voor schade en voegt de bug vervolgens toe aan de lijst met no-go-code. En het werkt echt, echt: het team testte het tegen Shellshock voor DARPA-ambtenaren in Jacksonville en A3 vond de schade niet alleen maar in slechts vier minuten. Nu de testfase voorbij is, ziet de toekomst er rooskleurig uit voor deze zelfherstellende software, hoewel er een voorbehoud is: de software is niet beschikbaar voor consumentengebruik op desktops of smarthphones. Volgens Eide hebben we die experimenten nog niet geprobeerd.

Andere mogelijkheden

Hoewel A3 de nieuwste en beste in de wereld van responsieve malwaredetectie is, is dit niet de eerste steek in dit soort dingen. HP heeft bijvoorbeeld vorig jaar een zelfherstellend BIOS gelanceerd om malware te bestrijden die wordt uitgevoerd voordat een besturingssysteem wordt geladen. Als aanvallers roottoegang tot een computer kunnen krijgen, is het mogelijk om het BIOS te wijzigen en schadelijke code in het systeem te forceren; HP’s BIOSphere vergelijkt het BIOS dat moet worden uitgevoerd met een ingebedde afbeelding van het originele BIOS van de machine – als ze verschillen, wordt het origineel altijd geladen.

Retail-gigant Amazon is ook op de zelfgenezende bandwagon. Het bedrijf heeft zojuist Amazon Aurora aangekondigd, een MySQL-compatibele database-engine gekoppeld aan hun Relational Database Service. Volgens het persbericht is Aurora “fouttolerant, tolereert transparant het verlies van schijven en beschikbaarheidszones, en zelfherstel, bewaakt en herstelt automatisch slechte blokken en schijven.” Dit is de heilige graal en wat A3 ook schiet voor: reparaties ter plaatse, zonder dat servers hoeven te worden afgesloten of gegevens opnieuw moeten worden gevuld.

Draai de beat om

Het is echter vermeldenswaard dat A3 open source is. Op het eerste gezicht is dit een goede zaak: andere white-hatgebruikers kunnen het werk van Eide overnemen en aanpassen, misschien voor mobiele apparaten, Windows-servers of zelfs het Internet of Things.

Er is echter ook een donkere kant. Schadelijke acteurs zijn over het algemeen geïnteresseerd in welke aanval dan ook het grootste voordeel oplevert voor de kleinste hoeveelheid werk. Een paar zijn echter innovators, en het is niet moeilijk om het risico van een herbestemde A3 of vergelijkbare zelfherstellende technologie voor te stellen: malware die is ontworpen om te scannen op antivirusactiviteiten, ze af te sluiten en te ‘repareren’, waardoor ze onbruikbaar worden. In een al zelfherstellend systeem kan dit leiden tot een patstelling, maar zoals CIO Today aangeeft, kunnen veel bedrijven de constante morphing van malware niet bijhouden. Voeg zelfherstel (of destructief) toe aan die lijst en dingen worden interessant.

A3 en vergelijkbare zelfherstellende software-inspanningen zijn veelbelovend in de strijd tegen malware, maar worden niet zelfgenoegzaam. Infectiebestrijding en softwareherstel zijn een alles-in-een-dek situatie – er is geen zilveren kogel hier.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map