Nowe drogi w dziedzinie ochrony antywirusowej

Ośrodek Internet Storm Center (ISC) zadał sobie trud zgromadzenia w specjalnej bazie danych wartości funkcji skrótu (hash) około 40 milionów programów pochodzących z National Software Reference Library (NSRL), aby umożliwić ich wynajdywanie za pomocą nakładki sieciowej. Tak więc nieuchronny wydaje się odwrót od tradycyjnej koncepcji polegającej na wyszukiwaniu wszelkich możliwych zagrożeń.

Nowe drogi w dziedzinie ochrony antywirusowej
Źródło zdjęć: © heise-online.pl
SKOMENTUJ

Ośrodek Internet Storm Center (ISC) zadał sobie trud zgromadzenia w specjalnej bazie danych wartości funkcji skrótu (hash) około 40 milionów programów pochodzących z National Software Reference Library (NSRL), aby umożliwić ich wynajdywanie za pomocą nakładki sieciowej. Tak więc nieuchronny wydaje się odwrót od tradycyjnej koncepcji polegającej na wyszukiwaniu wszelkich możliwych zagrożeń.

Amerykański NIST zarządza pokaźną biblioteką znanych programów i dla zawartych w nich plików wylicza wartości funkcji skrótu. Te pozwalają na niepodważalną identyfikację zbiorów. Obecnie metodę tę stosuje się głównie do wyłączania domyślnych plików programowych z analiz powłamaniowych. Jednak równie dobrze można by ją wykorzystywać do blokowania fałszywych alarmów wszczynanych w odniesieniu do standardowych plików.

Gdyby Avira, Kaspersky, F-Secure i inni producenci antywirusów mogli parę dni temu sięgnąć do tego rodzaju bazy danych, zanim wszczęły alarm, wówczas wiedzieliby, że plik AcSignApply.exe z wartością skrótu (MD5. 5A3DA649CBBB4502559AA24972E0F302 jest nadzorowanym przez NIST znanym zbiorem programu AutoCAD. Nie oznacza to bynajmniej, że plik ten na pewno nie zawiera backdoora. W tym wypadku można było jednak uniknąć fałszywego alarmu wszczętego na podstawie rzekomo poważnych podejrzeń.

Johannes B. Ullrich z ISC uważa, że tego typu whitelisting ma ogromny potencjał i zwłaszcza w kontrolowanych infrastrukturach firmowych mógłby zastąpić tradycyjne narzędzia antywirusowe. Współczesne koncepcje ochrony przewidują uwzględnianie wszelkich potencjalnych zagrożeń (enumerating badness), co jednak staje się coraz trudniejsze. Zatem idea whitelistingu, która zakłada akceptowanie tylko dozwolonych aplikacji, wydaje się nader atrakcyjna.

Obraz
© ISC pozwala teraz na wyszukiwanie wartości skrótu znanych plików (fot. heise-online.pl)

Problem w tym, że nawet sami administratorzy zazwyczaj nie wiedzą dokładnie, które oprogramowanie powinno działać w danym systemie, a które nie. Dodatkowym utrudnieniem są zmieniające się programy wskutek dokonywanych aktualizacji –. twierdzi Ullrich. Jego zdaniem złagodzony whitelisting, przykładowo bazujący na NSRL i uzupełniony własnymi wartościami skrótu mógłby utorować drogę do bardzo przydatnych mechanizmów weryfikacji.

Sporządzona przez ISC baza danych umożliwia wyszukiwanie według wartości skrótu lub nazw plików. W tej chwili nie zawiera jednak plików Windows 7. Z czasem mają tam trafiać dodatkowe informacje z kolejnych zaufanych źródeł, które będą odpowiednio znakowane. Już teraz ISC dostarcza także potencjalne trafienia z rejestru Malware Hash Registry zespołu Cymru. Dyskutowane są również zagadnienia weryfikacji na podstawie wyszukań DNS (DNS lookup).

Wybrane dla Ciebie

Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Izrael atakuje instalacje nuklearne. "Oceniona zostanie skala uszkodzeń"
Izrael atakuje instalacje nuklearne. "Oceniona zostanie skala uszkodzeń"
Amerykańska pomoc dla Izraela. Sojusznik na specjalnych warunkach
Amerykańska pomoc dla Izraela. Sojusznik na specjalnych warunkach
Nieziemska pogoda. Już niedługo wiatr słoneczny dotrze do Ziemi
Nieziemska pogoda. Już niedługo wiatr słoneczny dotrze do Ziemi
"To zdjęcie będzie symbolem". Nietypowa egzekucja naukowca w Iranie
"To zdjęcie będzie symbolem". Nietypowa egzekucja naukowca w Iranie
Zamachy na irańskich fizyków jądrowych. Zabijali ich nieznani sprawcy
Zamachy na irańskich fizyków jądrowych. Zabijali ich nieznani sprawcy
Izrael naśladuje Ukraińców? Potężny cios z wnętrza Iranu
Izrael naśladuje Ukraińców? Potężny cios z wnętrza Iranu
"To jest militarne arcydzieło". Analityk o uderzeniu Izraela
"To jest militarne arcydzieło". Analityk o uderzeniu Izraela
Izraelskie ataki prewencyjne. Operacje Powstający Lew, Orchard i Opera
Izraelskie ataki prewencyjne. Operacje Powstający Lew, Orchard i Opera
Polski astronauta nadal w kwarantannie. Czy może ją przerwać?
Polski astronauta nadal w kwarantannie. Czy może ją przerwać?
Żelazna Kopuła. Jak działa ochrona przeciwrakietowa Izraela?
Żelazna Kopuła. Jak działa ochrona przeciwrakietowa Izraela?