Служба новостей IDG, Сан-Франциско

Исследовательский проект корпорации Intel имеет целью автоматическое выявление механизмов rootkit

В корпорации Intel ведутся работы над исследовательским проектом, который позволит оперативно уведомлять пользователей ПК о том, что они непреднамеренно загрузили rootkit, например такой, как программа XCP (Extended Copy Protection — «расширенная защита от копирования»), имеющийся на ряде музыкальных компакт-дисков, выпущенных компанией Sony.

Корпорация Intel провела в Калифорнии в конце прошлого года открытую встречу для прессы, аналитиков и студентов, где анонсировала некоторые свои исследовательские проекты и рассказала о своем видении будущего компьютерного рынка.

Дэвид Тенненхаус : «Нам необходимо связать компьютеры напрямую с данными, благодаря чему людям не придется служить каналом ввода/вывода, и следует оставить за человеком только наблюдательные функции»

В частности, как заметил Дэвид Тенненхаус, вице-президент группы Intel Technology Group и директор корпорации по исследованиям, в будущем следует освободить людей от обременительных обязанностей по контролю за массой информации, которой обмениваются люди и компьютеры.

«Нам необходимо связать компьютеры напрямую с данными, благодаря чему людям не придется служить каналом ввода/вывода, и следует оставить за человеком только наблюдательные функции», — сказал Тенненхаус.

В частности, один из проектов Intel, как сообщил научный сотрудник корпорации Тревис Шлессер, предусматривает размещение на системной плате ПК небольшой микросхемы для постоянного мониторинга модификации программного обеспечения, которые могут быть следствием атаки.

В программном обеспечении XCP с помощью технологии rootkit компания Sony реализовала правила защиты от копирования. Средства rootkit представляют собой программные фрагменты, предназначенные для доступа к системе с целью внесения изменений или реализации определенных правил, причем так, что эти фрагменты не в состоянии обнаружить операционная система или антивирусы. Эксперты по защите утверждают, что хакеры могут использовать rootkit компании Sony для инициации своих атак.

Производители средств защиты признают, что инцидент с XCP застал их врасплох, несмотря на то, что он был установлен на тысячах систем в течение нескольких месяцев до того, как его обнаружил независимый исследователь, и что их инструменты смогут обнаруживать rootkit только после серьезной модернизации.

Идея, лежащая в основе проекта Intel, заключается в том, чтобы защитить системы от вредоносных программ, которые внедряются в системы и атакуют приложения, работающие в памяти системы.

Многие современные черви и вирусы, такие как Slammer и Blaster, пытаются отключить программы, работающие в памяти, или изменить эти программы таким образом, чтобы они запускали код хакера, а затем распространяли себя по сети.

Проект, получивший название Independent Run-Time System Integrity Services, создается с целью разработки средств, которые позволят ограничить распространение резидентных в памяти вредоносных программ за счет своевременного обнаружения изменений, вносимых такими программами в код приложения, и оперативного уведомления об этом администраторов, которые смогут немедленно предпринять необходимые действия.

В соответствии с этим сценарием «менеджер оценки целостности», работающий на специальной автономной микросхеме, мог бы идентифицировать rootkit, который начал вносить изменения в программу, находящуюся в памяти. При обнаружении могли бы автоматически предприниматься действия, заранее определенные специалистами ИТ-отдела.

Скажем, инфицированный ПК мог бы сразу отключаться от сети в случае получения подобного уведомления, не позволяя червю или атаке распространиться за пределы данного ПК.

Одновременно соответствующее уведомление может посылаться по электронной почте или появляться на экране в виде сообщения для сетевого администратора, информируя о начале вторжения.

В Intel считают, что разрабатываемые корпорацией решения не заменят собой антивирусные или антишпионские средства, а дополнят их. Вредоносные программы часто пытаются отключить или изменить антивирусный инструментарий, чтобы расчистить путь для последующих атак, и проект Intel мог бы обеспечить сохранность антивирусных программных средств, чтобы, выражаясь словами Шлесслера, «контролировать контролера».

Однако это решение Intel появится в новых ПК еще не скоро. Планируется, что подобные решения будут интегрированы в коммерческие продукты примерно в 2008-2009 годах.

Поделитесь материалом с коллегами и друзьями