Zaznavanje zlonamerne programske kode s pomočjo Linux jedra

Matej Kovačič

2. okt 2008 ob 14:11:24

Boj proti virusom in ostali zlonamerni kodi je težaven, protivirusno programje pa praviloma nudi le zaščito proti vnaprej poznanemu zlonamernemu programju. Posebno težavo tako predstavljajo še neodkriti, a v "divjini" že dejavni virusi.

Zato sta v boju proti zlonamerni kodi profesor Avishaia Wool in njegov študent Ohad Ben-Cohen iz Univerze v Tel Avivu ubrala povsem drugačen pristop. Razvila sta namreč odprtokodno rešitev poimenovano Korset, ki je namenjena zaustavljanju zlonamerne kode v okolju Linux.

Raziskovalca sta spremenila Linux jedro tako, da stalno nadzoruje in beleži obnašanje programskih aplikacij v sistemu. Poleg tega sta razvila tudi model, ki predvideva kako bi programske aplikacije na strežniku morale delovati.

Če modificirano jedro Linuxa zazna nenormalno delovanje programskih aplikacij, zaustavi njihovo izvajanje. Nova metoda naj bi bila tako bistveno bolj učinkovita kot tradicionalno zaznavanje (že odkritih) virusov, po besedah avtorjev pa za delovanje porabi le minimalno sistemskih sredstev.

Kot je pri odprtokodnem programju v navadi je tudi Korset že na voljo za prenos (pozor, gre za različico 0.01), ogledati pa si je mogoče tudi prosojnice iz predstavitve na konferenci BlackHat.

Se obeta konec protivirusnih podjetij?