Uniwersalne blokowanie luk oprogramowania

Problem z ochroną antywirusową opartą na sygnaturach polega na tym, że jeżeli zagrożenie rozprzestrzenia się szybciej niż mogą być tworzone sygnatury, komputery są masowo infekowane.

Problem z ochroną antywirusową opartą na sygnaturach polega na tym, że jeżeli zagrożenie rozprzestrzenia się szybciej niż mogą być tworzone sygnatury, komputery są masowo infekowane.

Gdy wykrywana jest luka w oprogramowaniu, twórcy wirusów starają się natychmiast opracować wirusa lub robaka wykorzystującego słaby punkt, zanim użytkownicy komputerów zastosują łatki uszczelniające. Z kolei projektanci rozwiązań antywirusowych muszą szybko pozyskać nowego wirusa czy robaka, przeanalizować go i przygotować sygnaturę, którą udostępnią użytkownikom.

Nowa technologia ochronna, nazwana "uniwersalnym blokowaniem luk", chroni systemy przed zagrożeniami, zanim się one pojawią. Zastosowana na desktopach i sieciowych zaporach ogniowych zapobiega infekcji zamiast reagować na nią.

Uniwersalne blokowanie luk różni się od tradycyjnych technologii opartych na sygnaturach. Podobnie jak tradycyjne sygnatury, wymaga analizy do określenia charakterystyk i stworzenia "odcisku palca" kodu. Ale kod podlegający analizie jest inny. Uniwersalne blokowanie luk analizuje nieszczelne oprogramowanie, będąc potencjalnym celem ataku, a nie atakujące je wirusy. To różnica zasadnicza, ponieważ pozwala projektantom ochrony przygotować obronę, zanim luka zostanie wykorzystana przez nowe wirusy czy robaki. Celem nowego rozwiązania jest określenie nieszczelności systemu i zbudowanie sygnatur, które mogą wykryć i zablokować wszystkie potencjalne ataki wykorzystujące te luki.

Uniwersalne blokowanie luk oprogramowania

Uniwersalne blokowanie luk

Potrzebę takiej technologii wyrażono już w czerwcu 2002 r., kiedy Microsoft ujawnił luki w bazie danych SQL Server. Do wykorzystania tej luki napastnik mógł po prostu wysłać do portu 1434 niezałatanej maszyny, na której pracuje SQL Server, pakiet 61-bajtowy lub dłuższy z pierwszym bajtem o wartości 4. Sygnatura uniwersalnego blokowania luk dla tej nieszczelności powinna zablokować to zagrożenie.

Dostawcy oprogramowania ochronnego mogą wysyłać sygnatury do zapór ogniowych w formie uaktualnień definicji wirusów. Zapora ogniowa na serwerze korporacyjnym lub desktopie filtruje wtedy wszystkie przychodzące i wychodzące pakiety, wykorzystując te sygnatury. Przy użyciu sygnatur rozprowadzanych krótko po tym, jak nieszczelność zostanie wykryta, robak typu MS-SQL Slammer powinien być zablokowany przed infekcją.

Dzięki tej technologii w podobny sposób mogłyby być chronione nieszczelności, jakie pojawiły się w ciągu ostatnich dwóch lat. Gdyby sygnatury uniwersalnego blokowania luk wydano np. po 31 kwietnia 2004 r., kiedy to ujawniono lukę LSASS w Microsoft Windows, to prawdopodobnie mogłyby one zapobiec rozprzestrzenianiu się robaków Sasser i W32.Korgo. Z chwilą, gdy technologia ta zacznie pojawiać się w produktach ochrony, można mieć nadzieję na znaczące zmniejszenie liczby ataków nowych wirusów, robaków i hakerów.

Uniwersalne blokowanie luk jest efektywnym czynnikiem odstraszającym w przypadku większości ataków sieciowych, obejmujących takie zagrożenia, jak Slammer, Blaster czy Nimda. Co więcej jest to technologia odpowiednia zarówno dla produktów ochrony przedsiębiorstw, jak i konsumenckich - od desktopów do serwerów i routerów. Uniwersalne blokowanie luk może być zastosowane w każdym urządzeniu filtrującym pakiety. Kiedy pakiety przechodzą przez chronione urządzenie, oprogramowanie uniwersalnego blokowania luk porównuje je z sygnaturami nieszczelności, blokując te, które spełniają kryterium filtrowania.

Rozwiązania, takie jak uniwersalne blokowanie luk, nie zastąpią w wykrywaniu wirusów i robaków tradycyjnych technik reaktywnych opartych na sygnaturach. Zapewnią raczej komplementarne możliwości ochrony systemów przed przyszłymi atakami na tydzień czy miesiąc wcześniej zanim pojawią się złośliwe programy wykorzystujące wykryte nieszczelności.

Połączone z mechanizmami automatycznego uaktualniania, które dostarcza łatki ochronne w sposób efektywny, niezawodny i regularny, uniwersalne blokowanie luk i tradycyjne techniki reaktywne oparte na sygnaturach pozwolą na zmniejszenie ryzyka prowadzenia biznesu z wykorzystaniem Internetu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200