Самовосстанавливающееся программное обеспечение борется с вредоносными программами! Программное обеспечение, исцели себя!

Что если сети и приложения могут автоматически обнаруживать вторжения вредоносных программ, восстанавливать любой нанесенный ущерб, а затем захлопывать дверь при дальнейшем заражении того же типа? Похоже, что-то из научной фантастики уровня Star Trek, но благодаря исследователям из Университета Юты, этот вид программного обеспечения для самовосстановления подходит к основанному на Linux деловому или военному серверу рядом с вами. Вредоносное ПО: бойся. Очень бояться.

Я вижу, что ты там делаешь

Самая большая проблема с антивирусами? Они полагаются на списки, белые списки для законного кода и черные списки для программного обеспечения, которое поставляется с вредоносной полезной нагрузкой. Но поскольку хакеры ставят своей задачей создание новых и все более скрытых инфекций, детекторы вирусов всегда на шаг отстают от плохих парней. Это ставит компании в трудное положение. Высокопроизводительный антивирус может перегружать сеть и даже отключать серверы, в то время как выбор «что может случиться» может привести к тому, что ваша система заглохнет.

Не так с A3 или Advanced Adaptive Applications, которые не связаны типичными правилами поиска и уничтожения. Наряду с оборонным подрядчиком Raytheon BBN и неуклюже названной программой DARPA – «Чистый сланец» – разработка гибких, адаптивных и безопасных хостов – Эрик Эйде из университета штата Юта и его команда разработали для A3 способ обнаружения, ремонта и поддержки сети защита на любой Linux-виртуальной машине (ВМ).

Вот как это работает: A3 сначала использует набор «наращиваемых отладчиков», которые работают в режиме реального времени и ищут в ВМ какие-либо странные действия. И в отличие от типичного вирусного программного обеспечения, эта программа безопасности не ищет какой-то конкретный код, а требует какого-либо необычного поведения компьютера. Если обнаружено вредоносное ПО, A3 останавливает любой процесс, который был запущен, приближает исправление к повреждению, а затем добавляет ошибку в свой список неиспользуемого кода. И это действительно, действительно работает: команда проверила его на Shellshock для чиновников DARPA в Джексонвилле, и A3 не только обнаружила, но и исправила ущерб всего за четыре минуты. Теперь, после этапа тестирования, будущее этого самовосстанавливающегося программного обеспечения выглядит блестящим, хотя есть предостережение: оно не доступно для использования на настольных компьютерах или смартфонах. По словам Эйде, «мы еще не пробовали эти эксперименты».

Другие проспекты

Несмотря на то, что A3 является последним и лучшим в мире обнаружением вредоносных программ, это не первая попытка такого рода действий. Например, в прошлом году HP запустила самовосстанавливающийся BIOS для борьбы с вредоносными программами, которые запускаются до загрузки ОС. Если злоумышленники могут получить root-доступ к компьютеру, можно изменить BIOS и ввести вредоносный код в систему; BIOSphere HP сравнивает готовый BIOS со встроенным образом оригинального BIOS машины – если они различаются, оригинал всегда загружается.

Гигант розничной торговли Amazon также участвует в самовосстановлении. Компания только что анонсировала Amazon Aurora, MySQL-совместимое ядро ​​базы данных в паре с их Relational Database Service. Согласно пресс-релизу, Aurora является «отказоустойчивой, прозрачно переносящей потерю дисков и зон доступности и самовосстанавливающейся, автоматически отслеживающей и исправляющей поврежденные блоки и диски». Это святой Грааль, и то, что стреляет в A3 для: ремонта на лету, без необходимости выключать серверы или пополнять данные.

Переверни ритм

Стоит отметить, однако, что A3 с открытым исходным кодом. На первый взгляд, это хорошо: другие пользователи белой шляпы могут взять работу Eide и адаптировать ее, возможно, для мобильных устройств, серверов Windows или даже Интернета вещей..

Однако есть и темная сторона. В целом злонамеренные актеры заинтересованы в том, чтобы любая атака приносила наибольшую выгоду при минимальных затратах на работу. Однако некоторые из них являются новаторами, и несложно представить себе риск использования А3 или аналогичной технологии самовосстановления: вредоносное ПО, предназначенное для сканирования на наличие антивирусных программ, их отключения и «восстановления», что делает их бесполезными. В уже самовосстанавливающейся системе это может привести к тупику, но, как указывает CIO Today, многие компании не могут идти в ногу с постоянно трансформирующимся вредоносным ПО. Добавьте в этот список самовосстановление (или разрушение), и все станет интересным.

Усилия A3 и аналогичные программы самовосстановления демонстрируют реальные перспективы в борьбе с вредоносными программами, но не успокаиваются. Инфекционный контроль и восстановление программного обеспечения – все в руках – на месте нет серебряной пули.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me