Intel pracuje nad technologią wykrywania rootkitów

Intel podjął prace projektowe nad technologią pozwalającą na natychmiastowe powiadamianie użytkownika o sprowadzeniu do komputera rootkita, podobnego do XCP (Extended Copy Protection), umieszczanego na niektórych płytach muzycznych CD firmy Sony Music/BMG.

Projekt ma polegać na umieszczeniu na płycie głównej peceta mikroukładu, którego zadaniem ma być ciągłe monitorowanie modyfikacji programów pracujących w pamięci operacyjnej.

XCP firmy Sony implementuje politykę ochrony przed kopiowaniem za pomocą programów typu rootkit. Oprogramowanie takie, to kody przygotowane do modyfikowania systemu operacyjnego lub obowiązujących reguł polityki bez możliwości wykrycia ich przez system operacyjny lub programy antywirusowe. W opinii specjalistów oprogramowanie Sony może być używane przez hakerów do przeprowadzania niewykrywalnych ataków.

Dostawcy rozwiązań ochronnych przyznają, że rootkit XCP zaskoczył ich, chociaż był przez jakiś czas instalowany na tysiącach systemów, zanim problem został zidentyfikowany.

Idea projektu Intela polega na ochronie programów pracujących w pamięci systemowej. Wiele współczesnych robaków i wirusów, takich jak Slammer czy Blaster, podejmuje próbę wyłączenia lub zmiany programów pracujących w pamięci tak, aby wykonywały one kod hakera i rozprzestrzeniały go w sieci.

Projekt o nazwie 'OS Independent Run-Time System Integrity Service' zmierza do ograniczenia ataków rezydujących w pamięci operacyjnych metodą wykrywania zmian w kodach aplikacyjnych w momencie ich wykonywania, co pozwoli użytkownikom podjąć odpowiednią akcję. Specjalny program pracujący w mikroukładzie - poza CPU i pamięcią operacyjną - ma identyfikować rootkit lub inne złośliwe kody wprowadzające zmiany do programów pracujących w pamięci. Wykrycie takiej próby ma wyzwalać kontrakcje, których zestaw może być określony przez administratora.

Jedną z nich może być np. natychmiastowe odłączenie komputera od sieci i wygenerowanie odpowiedniego alarmu.

Intel nie zakłada, że projekt ten zastąpi oprogramowanie antywirusowe czy antyspyware, ale jedynie je uzupełni. Firma przyznaje też, że upłynie jeszcze trochę czasu, zanim rozwiązania takie pojawią się w nowych komputerach PC. Zakończenie projektu przewidywane jest na lata 2008/2009.


Zobacz również