Nowe drogi w dziedzinie ochrony antywirusowej
Ośrodek Internet Storm Center (ISC) zadał sobie trud zgromadzenia w specjalnej bazie danych wartości funkcji skrótu (hash) około 40 milionów programów pochodzących z National Software Reference Library (NSRL), aby umożliwić ich wynajdywanie za pomocą nakładki sieciowej. Tak więc nieuchronny wydaje się odwrót od tradycyjnej koncepcji polegającej na wyszukiwaniu wszelkich możliwych zagrożeń.
Ośrodek Internet Storm Center (ISC) zadał sobie trud zgromadzenia w specjalnej bazie danych wartości funkcji skrótu (hash) około 40 milionów programów pochodzących z National Software Reference Library (NSRL), aby umożliwić ich wynajdywanie za pomocą nakładki sieciowej. Tak więc nieuchronny wydaje się odwrót od tradycyjnej koncepcji polegającej na wyszukiwaniu wszelkich możliwych zagrożeń.
Amerykański NIST zarządza pokaźną biblioteką znanych programów i dla zawartych w nich plików wylicza wartości funkcji skrótu. Te pozwalają na niepodważalną identyfikację zbiorów. Obecnie metodę tę stosuje się głównie do wyłączania domyślnych plików programowych z analiz powłamaniowych. Jednak równie dobrze można by ją wykorzystywać do blokowania fałszywych alarmów wszczynanych w odniesieniu do standardowych plików.
Gdyby Avira, Kaspersky, F-Secure i inni producenci antywirusów mogli parę dni temu sięgnąć do tego rodzaju bazy danych, zanim wszczęły alarm, wówczas wiedzieliby, że plik AcSignApply.exe z wartością skrótu (MD5. 5A3DA649CBBB4502559AA24972E0F302 jest nadzorowanym przez NIST znanym zbiorem programu AutoCAD. Nie oznacza to bynajmniej, że plik ten na pewno nie zawiera backdoora. W tym wypadku można było jednak uniknąć fałszywego alarmu wszczętego na podstawie rzekomo poważnych podejrzeń.
Johannes B. Ullrich z ISC uważa, że tego typu whitelisting ma ogromny potencjał i zwłaszcza w kontrolowanych infrastrukturach firmowych mógłby zastąpić tradycyjne narzędzia antywirusowe. Współczesne koncepcje ochrony przewidują uwzględnianie wszelkich potencjalnych zagrożeń (enumerating badness), co jednak staje się coraz trudniejsze. Zatem idea whitelistingu, która zakłada akceptowanie tylko dozwolonych aplikacji, wydaje się nader atrakcyjna.
Problem w tym, że nawet sami administratorzy zazwyczaj nie wiedzą dokładnie, które oprogramowanie powinno działać w danym systemie, a które nie. Dodatkowym utrudnieniem są zmieniające się programy wskutek dokonywanych aktualizacji –. twierdzi Ullrich. Jego zdaniem złagodzony whitelisting, przykładowo bazujący na NSRL i uzupełniony własnymi wartościami skrótu mógłby utorować drogę do bardzo przydatnych mechanizmów weryfikacji.
Sporządzona przez ISC baza danych umożliwia wyszukiwanie według wartości skrótu lub nazw plików. W tej chwili nie zawiera jednak plików Windows 7. Z czasem mają tam trafiać dodatkowe informacje z kolejnych zaufanych źródeł, które będą odpowiednio znakowane. Już teraz ISC dostarcza także potencjalne trafienia z rejestru Malware Hash Registry zespołu Cymru. Dyskutowane są również zagadnienia weryfikacji na podstawie wyszukań DNS (DNS lookup).
