Dosedanja praksa vseh varnostnih rešitev je bila takšna, da so zaščitni programi »sedeli« znotraj operacijskega sistema in preverjali, kaj se dogaja na »vhodu« v sistem. Težava pa je v tem, da so se razvijalci škodljive programske kode z odličnim poznavanjem delovanja sodobnih operacijskih sistemov (ti žal temeljijo na nekaj desetletij starih načelih) naučili izkoriščati osnovne funkcije operacijskega sistema, predvsem kar zadeva izmikanja zaznavanju s strani varnostnih rešitev. Proizvajalci operacijskih sistemov so namreč že precej časa med dvema ognjema. Na eni strani vedo, da morajo svoje sisteme nadgrajevati in jim dodajati nove funkcionalnosti, na drugi pa vedno, da morajo ohraniti združljivost za nazaj, sicer uporabniki izdelka ne bodo uporabljali, saj na njem ne bodo tekli njihovi programi. Ta združljivost za nazaj pa ima slabo lastnost (tudi) v tem, da mora ohranjati temelje, ki pa so zastareli in predvsem varnostno kritični. In to seveda vedo in tudi veselo izkoriščajo nepridipravi. Najbolj znani tovrstni škodljivci so tako imenovani rootkiti – škodljiva koda, ki z izkoriščanjem lastnosti operacijskega sistema skriva pred zaznavanjem ali pa omogoča prikrivanje drugih škodljivih vsebin. Torej klasični pristop ni več učinkovit in si je treba pač izmisliti nekaj novega.
NOTRANJI SOVRAŽNIK
»Rootkit za Windows uspe prodreti tako globoko v sam sistem, da lahko spremlja in prestreza klice sistemskih funkcij Windows API – ravno s prestrezanjem in spreminjanjem klicev nizkonivojskih sistemskih funkcij mu uspe prikriti svoj obstoj ali obstoj aktivnih procesov, registrskih ključev, map ali datotek. Nekateri rootkiti tudi namestijo svoje gonilnike ali sistemske storitve, ki so prav tako skriti. Rootkiti se skrivajo pred operacijskim sistemom in pogosto brez težav tudi pred varnostnimi rešitvami, saj te delujejo v okviru sistema, ki ga znajo škodljivci pretentati,« pravijo pri McAfeeju.
In zakaj smo za citat izbrali McAfee? Zato, ker so na letošnjem Intel Developer Forumu predstavili rešitev, ki bi lahko precej zasolila življenje nepridipravom. Od kod Intel? Razloga sta dva. Prvi je ta, da je McAfee že nekaj časa praktično v lasti Intela, torej je logično, da nastopa tudi na IDF-ju, vendar pravi razlogi niso v tem. V čem je bistvo, lahko vidimo iz nadaljevanja »definicije« rootkita: »Ali to pomeni, da smo v brezizhodnem položaju? Pravzaprav ne – če se lahko varnostna rešitev, tako kot sodobna zlonamerna programska oprema, izogne operacijskemu sistemu, vendar nekako pride »podenj« oziroma do nivoja, do katerega škodljiva koda nikakor ne more priti, potem smo našli rešitev!« Kako pa priti »pod« operacijski sistem? Saj ta ja deluje na skorajda osnovni ravni! No, tu pa pride prav nekdo, ki je specialist na področju strojne opreme, kar Intel vsekakor je.
ZAŠČITA OD NAJNIŽJE RAVNI NAVZGOR
In so sedli skupaj. Rezultat tega sodelovanja je tehnologija, ki so jo poimenovali DeepSAFE. Ne da bi se spuščali v prevelike tehnološke podrobnosti, lahko tehnologijo opišemo tako, da gre za sistem, kjer se varnostni mehanizem naloži, še preden se aktivira operacijski sistem, torej tudi, preden se naloži morebitna zlonamerna koda. DeepSAFE je namreč programska oprema, ki je »zapečena« v elektroniko matične plošče oziroma spremnega vezja in je tako za zunanji svet nedosegljiva, predvsem pa nespremenljiva. Tako pa se lahko odpravijo težave z luknjastimi operacijski sistemi, saj varnostni sistem z njimi nima skoraj nič. No ja, nekaj malega ima, saj komunicira z varnostnimi rešitvami, ki so nameščene v operacijskem sistemu.
Pri tem je treba povedati, da DeepSafe ni program, ampak tehnologija oziroma platforma, na osnovi katere se lahko razvijajo varnostne rešitve. DeepSAFE sam zase ni dovolj, saj gre le za osnovo, na kateri se potem gradijo varnostne rešitve, ki pa seveda so v operacijskem sistemu, saj lahko le preko njega komunicirajo z uporabniki.
Zadeva je za zdaj na voljo za Intelove platforme Core i3, i5 in i7, od septembra, ko se je stvar prvič pojavila v javnosti, pa je McAfee ponudil dve rešitvi, ki temeljita na tehnologiji DeepSAFE. Ena se imenuje McAfee Deep Defender, kjer gre za varnostno rešitev za končne uporabnike ter McAfee ePO Deep Command, ki je sistem za oddaljen varnostni nadzor.
Seveda se pri celotni stvari poraja tudi nekaj vprašanj, povezanih s konkurenco in dostopnostjo tehnologije. Za zdaj namreč še ne vemo kaj dosti o tem, ali bosta Intel in McAfee svojo tehnologijo odprla do te mere, da bodo z DeepSAFE-om lahko komunicirale tudi varnostne rešitve konkurence ali pa bo to (p)ostalo izključna last obeh podjetij oziroma Intela, in seveda kako se bodo na morebitno slednjo odločitev odzvali konkurenti.
Kakor koli že, je jasno to, o čemer smo v Mikru pisali pred nekaj leti in ugotavljali, da bo računalniška varnost postala učinkovita šele takrat, ko bodo svoje napore združili proizvajalci strojne in programske opreme. In kot je videti, se je zgodilo točno to. Končno smo dobili svežo varnostno idejo, ki ne bo temeljila le na hitrih odzivih na zaznane nevarnosti, kot je to bilo do zdaj, ampak bo bika zgrabila za roge bistveno prej, torej še preden sploh pride v sistem.
Moj mikro, december 2011 | Zoran Banovič
