Samonaprawiające się oprogramowanie usuwa złośliwe oprogramowanie! Oprogramowanie, ulecz się!

Co jeśli sieci i aplikacje mogą automatycznie wykrywać włamania złośliwego oprogramowania, naprawiać wszelkie wyrządzone szkody, a następnie zatrzaskiwać drzwi przed kolejnymi infekcjami tego samego typu? Wydaje się, że to coś z science fiction na poziomie Star Trek, ale dzięki badaczom z University of Utah, tego rodzaju oprogramowanie do samoleczenia dociera do pobliskiego serwera biznesowego lub wojskowego opartego na Linuksie. Złośliwe oprogramowanie: bój się. Bardzo się bać.

Widzę, co tam robisz

Największy problem z programami antywirusowymi? Opierają się na listach, białych listach dla legalnego kodu i czarnych listach dla oprogramowania, które zawiera szkodliwy ładunek. Ale ponieważ hakerzy mają za zadanie tworzyć nowe i coraz bardziej ukryte infekcje, wykrywacze wirusów są zawsze o krok za złymi ludźmi. To stawia firmy w trudnej sytuacji. Wysokowydajny program antywirusowy może uszkodzić sieć, a nawet przełączyć serwery w tryb offline, a wybranie podejścia „co może nadejść” może obejmować awarię systemu.

Nie dotyczy to A3 lub zaawansowanych aplikacji adaptacyjnych, które nie są związane typowymi regułami wyszukiwania i niszczenia. Wraz z kontrahentem obronnym Raytheonem BBN i niezgrabnie nazwanym programem DARPA – Clean-Slate Design of Resilient, Adaptive, Secure Hosts – Eric Eide z Uniwersytetu w Utah i jego zespół opracowali sposób A3 na wykrywanie, naprawę i naprawę sieci obrony na dowolnej maszynie wirtualnej opartej na systemie Linux (VM).

Oto, jak to działa: A3 najpierw używa zestawu „debugerów, które można ustawiać jeden na drugim”, które działają w czasie rzeczywistym i przeszukują maszynę wirtualną w poszukiwaniu dziwnych działań. I w przeciwieństwie do typowego oprogramowania antywirusowego, ten program bezpieczeństwa nie szuka określonego kodu, ale nietypowego zachowania komputera. Jeśli zostanie wykryte złośliwe oprogramowanie, A3 zatrzymuje każdy rozpoczęty proces, przybliża naprawę szkód, a następnie dodaje błąd do swojej listy kodów, których nie wolno używać. I to naprawdę, naprawdę działa: zespół przetestował to przeciwko Shellshock dla urzędników DARPA w Jacksonville i A3 nie tylko odnalazło, ale naprawiło uszkodzenia w zaledwie cztery minuty. Po zakończeniu fazy testowania przyszłość tego samonaprawiającego się oprogramowania wygląda dobrze, choć jest pewne zastrzeżenie: oprogramowanie nie jest dostępne do użytku konsumenckiego na komputerach stacjonarnych ani smartfonach. Według Eide „jeszcze nie próbowaliśmy tych eksperymentów”.

Inne możliwości

Podczas gdy A3 jest najnowszym i najlepszym w świecie reagującego na wykrywanie złośliwego oprogramowania, nie jest to pierwszy dźgnięcie tego rodzaju rzeczy. Na przykład HP uruchomił w ubiegłym roku samonaprawiający się system BIOS w celu zwalczania złośliwego oprogramowania, które działa przed załadowaniem systemu operacyjnego. Jeśli osoby atakujące mogą uzyskać dostęp do roota na komputerze, możliwa jest zmiana systemu BIOS i wymuszenie złośliwego kodu w systemie; System BIOS HP porównuje system BIOS, który ma zostać uruchomiony, z osadzonym obrazem oryginalnego systemu BIOS komputera – jeśli się różnią, oryginał jest zawsze ładowany.

Detaliczny gigant Amazon jest także w samoleczącym się modzie. Firma właśnie ogłosiła Amazon Aurora, silnik bazy danych zgodny z MySQL w połączeniu z relacyjną bazą danych. Według komunikatu prasowego Aurora jest „odporna na awarie, transparentnie toleruje utratę dysków i stref dostępności, a także samoleczenie, automatycznie monitoruje i naprawia uszkodzone bloki i dyski”. To jest święty graal, a to, co A3 również strzela do: napraw w locie, bez potrzeby wyłączania serwerów lub ponownego wypełniania danych.

Odwróć rytm

Warto jednak wspomnieć, że A3 jest oprogramowaniem typu open source. Na pierwszy rzut oka jest to dobra rzecz: inni użytkownicy w białych kapeluszach mogą wziąć pracę Eide i dostosować ją, być może na urządzenia mobilne, serwery Windows lub nawet Internet przedmiotów.

Jednak jest też ciemna strona. Szkodliwi aktorzy są w zasadzie zainteresowani wszelkiego rodzaju atakami, które przynoszą największe korzyści przy najmniejszym nakładzie pracy. Niektórzy jednak są innowatorami i nietrudno wyobrazić sobie ryzyko ponownego wykorzystania A3 lub podobnej technologii samoleczenia: złośliwe oprogramowanie zaprojektowane do skanowania w poszukiwaniu działań antywirusowych, wyłączania ich i „naprawy”, czyniąc je bezużytecznymi. W już samonaprawiającym się systemie może to prowadzić do impasu, ale jak zauważa CIO Today, wiele firm nie jest w stanie nadążyć za ciągle zmieniającym się złośliwym oprogramowaniem. Dodaj samoleczenie (lub niszcząc) do tej listy i wszystko stanie się interesujące.

A3 i podobne oprogramowanie do samonaprawiania się pokazują prawdziwą obietnicę w walce ze złośliwym oprogramowaniem, ale nie popadaj w samozadowolenie. Kontrola infekcji i naprawa oprogramowania to wszystko na pokładzie – nie ma tu srebrnej kuli.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me