Самовосстанавливающиеся программы противостоят вредоносному коду

Ученые из Университета Юты разработали программное обеспечение, которое не только обнаруживает и уничтожает никогда не встречавшиеся еще вирусы и другие вредоносные программы, но и автоматически восстанавливают ущерб, причиненный ими. Затем программное обеспечение предотвращает от повторного заражения когда-либо инфицированные компьютеры.

А3 – программный пакет, который работает на виртуальной машине. ПО A3 предназначено для того, чтобы следить за операционной системой виртуальной машины и приложениями, говорит проф. Эрик Эйде (Eric Eide) из Университета штата Юта, возглавляющий A3-команду университета вместе с доцентом Джоном Регером (John Regehr). Пакет A3 предназначен для защиты серверов или аналогичных компьютеров бизнес-класса, работающих на операционной системе Linux. Кроме того, была продемонстрирована защита военных приложений.

Новое программное обеспечение, называемое A3, или Advanced Adaptive Applications, было разработано совместно с оборонным подрядчиком из Массачусетса, Raytheon BBN, и было профинансировано в рамках Clean-Slate Design of Resilient, Adaptive, Secure Hosts, программы DARPA. Четырехлетний проект был завершен в конце сентября.

Нет никаких планов по адаптации A3 для домашних компьютеров и ноутбуков, но проф. Эйде говорит, что это может быть возможным в будущем.

«Технологии A3 могут найти свой путь в потребительский сектор когда-нибудь, что помогло бы защитить потребительские устройства от быстро распространяющихся вредоносных программ или внутренней коррупции программных компонентов. Но мы еще не пытались проводить такие эксперименты», - сказал он.

Ученые создали «стекируемые отладчики», несколько приложений-отладчиков, которые работают поверх друг друга и «смотрят» внутрь виртуальной машины, когда она работает, постоянно осуществляя мониторинг любого отклоняющегося от нормы поведения в компьютере.

В отличие от обычного антивирусного сканера на потребительских ПК, который сравнивает каталог известных вирусов с тем, что заразил компьютер, A3 позволяет обнаруживать новые, неизвестные вирусы или вредоносные программы, автоматически определяя, когда в процессе работы компьютера что-то отклоняется от нормы. Затем А3 может остановить вирус, приблизительно восстановить поврежденный программный код, а затем обучиться никогда не позволять такому коду вновь поступить в машину.

В то время как военные заинтересовались в A3 для повышения кибербезопасности своих критически важных систем, пакет также потенциально может быть использован в потребительском сегменте, например, в веб-сервисах, таких как Amazon. Если вирус или атака останавливает службу, A3 может восстановить ее в течение нескольких минут без выключения серверов.

Чтобы проверить эффективность A3, команда из Университета Юты и Raytheon BBN использовала пресловутую программную ошибку под названием Shellshock для демонстрации работы пакета должностным лицам DARPA в Джексонвилле, штат Флорида, в сентябре. A3 обнаружил атаку Shellshock на веб-сервере и восстановил поврежденный код за четыре минуты, говорит Эйде. Команда также успешно тестирует A3 на полудюжине других экземпляров вредоносных программ.

Shellshock был уязвимостью ПО в компьютерах на UNIX-платформе (которая включает многие веб-серверы и большинство ноутбуков и настольных компьютеров Apple), позволяющей хакеру получить контроль над компьютером. Вирус был впервые обнаружен в конце сентября. В течение первых 24 часов после обнаружения Shellshock, исследователи в области безопасности сообщили, что более 17 000 атак хакеров были сделаны с его помощью.

«Это действительно большой успех, когда компьютерная система может автоматически и в короткий промежуток времени найти приемлемую защиту от широко распространенной и важной уязвимости», - сказал проф. Эйде.

Теперь, когда проект A3 завершен и доказывает правильность своей концепции, проф. Эйде говорит, что команда Университета Юты хотела бы провести исследования и выяснить способ использования A3 в области облачных вычислений, в глобальных компьютерных сетей для хранения данных, в сервисах доставки приложений и серверов локальным пользователем через Интернет.

A3 является ПО с открытым исходным кодом, бесплатное для любого использования, но проф. Эйде считает, что многие из технологий A3 могут быть включены в коммерческие продукты.

Проф. Эрик Эйде в машинном зале Университета Юты