A Las Vegas-i Black Hat internetbiztonsági konferencián mutatta be a tel-avivi egyetemen oktató Avishai Wool és tanítványa, Ohad Ben-Cohen saját fejlesztésű programját, amely a Linuxot futtató szerverek biztonságát hivatott növelni. Kérdés, mit szólnak majd a Korset nevű szoftverhez az antivírusgyártók, ha ugyanis a megoldás elterjed más platformokon is – és mivel nyílt forráskódú, erre megvan az esély –, könnyen előfordulhat, hogy be kell csukniuk a boltot.

Megelőző szerelés

A program alapötlete, hogy magában a kernelben helyeznek el egy modult, amely képes figyelni a rendszerre telepített és futásra készülő programokat. A modell előre megjósolja, hogy egy szoftvernek hogyan kell futnia, milyen műveleteket kell elvégeznie. Ha abnormális tevékenységet észlel, leállítja a program futását, mielőtt az károkat okozhatna a rendszeren. „Ha a normálistól eltérő működést látunk, tudnunk kell, hogy valami baj van” – magyarázza Wool.

A Korset működése két fázisra épül. Az elsőben a program kielemzi a futni készülő program által végzendő műveleteket, és meghatározza, melyek azok, amiket az adott szoftver elvégezhet. A következő fázisban azt vizsgálja, amit a program ténylegesen csinál; ha ez eltér a korábban megállapítottaktól, a program futását leállítja. Wool szerint „minden olyan művelet, ami az engedélyezési listában nem szerepel, kártékonynak tekintendő”. Kérdés, hogy ki lehet-e játszani ezt a rendszert is? A tudós szerint ez nem zárható ki, statisztikai elemzésekkel azonban növelhető a program hatékonysága. Meghatározott tevékenységekhez ugyanis jól körülhatárolható mennyiségű és minőségű rendszerhívás társítható. Ha egy program olyan rendszerhívásokat kezdeményez, melyek statisztikailag nem igazolhatóak, nagy a valószínűsége, hogy deviáns viselkedéssel állunk szemben, és a szoftver ennek megfelelően kezelendő.

Természetesen utólag már nem használható a Korset, ha ugyanis egy gép fölött már átvették az irányítást, akkor ez a védelem már nem működik. A Korsettel alapból ellátott szerverek irányításának megszerzése viszont sokkal nehezebb lesz, mivel a nem megfelelő viselkedési mintát mutató programokat, rendszerhívásokat blokkolja.

Még nincs kész

A tudós nyilatkozott az antivírusalapú védelmekről is. Szerinte a Korset hatékonyabb, mert – ellentétben a mostani védelmi rendszerekkel – nem igényel további erőforrásokat a számítógéptől. További probléma a vírusirtóknál, hogy ezek csak utólag képesek jelezni és közbelépni, ha megjelenik egy új kórokozó, relatíve sok időt vesz igénybe egy vírus tanulmányozása, a vírusleírás elkészítése és terjesztése. Ebből fakadóan hiába védik a felhasználók a számítógépeiket tűzfalakkal, vírus- és kémprogramirtókkal, mindig lesz egy időintervallum, amíg védtelenek lesznek a támadásokkal szemben. A docens által kidolgozott megoldás viszont preventív, igaz, még van fejleszteni való rajta.

S hogy addig mi a teendő? Ne kattintsunk idegen levelek linkjeire, tartsuk szem előtt, hogy a bankok nem kérnek információkat rólunk e-mailben, és természetesen tartsuk frissen a most alkalmazott védelmi programjainkat – tanácsolja.

Wool több másik, az internetes biztonságot fokozó fejlesztésben is érdekelt. Másik tanítványával, Danny Nebenzahllal közösen készítettek egy „vakcinát”, amely megvédi többek között a Microsoft Outlookot az ismeretlen, addig nem dokumentált támadásokkal szemben is – a 2006-ban publikált megoldás most kezd a gyakorlatban is megjelenni. Dolgozik továbbá annak kutatásán is, hogy miként használhatók a száloptikák és a lézerek a kriptográfiai eszközök továbbfejlesztésére.