HookSafe — защита от руткитов

...

Исследователи из университета Северной Каролины в содружестве с Майкрософт создали прототип виртуальной системы предотвращения вторжений, которая обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности.  Руткиты режима ядра маскируют свое присутствие и деятельность на зараженной машине, перехватывая системные функции и подменяя управляющую информацию на уровне ядра. Система HookSafe защищает гостевую ОС от несанкционированного доступа руткитов режима ядра, работая в режиме гипервизора. 

Прототип системы был протестирован в среде Ubuntu Linux 8.10, где было идентифицировано около 6 тыс. точек возможного перехвата, разбросанных по 40 физическим страницам. HookSafe успешно отразила атаки девяти известных руткитов, ориентированных на Linux. Семь из них потерпели неудачу при попытке инсталляции, а два, внедрившись в ядро, не смогли замаскироваться. Максимальное снижение производительности из-за присутствия гипервизора составило 6%.

Разработчики признают, что HookSafe — частичное решение проблемы, к тому же не лишенное недостатков. Система предотвращает только те атаки, которые она может распознать, поэтому база сигнатур указателей должна быть создана заранее. Самостоятельно локализовать нужные данные в пространстве ядра она не способна, они выявляются путем динамического анализа при прогоне незараженной версии ОС на эмуляторе. Этот метод несовершенен, так как часть указателей может быть упущена и не будет занесена в базу. В реальных условиях ситуация усугубится, когда усилится приток программных обновлений и новых драйверов. Кроме того, HookSafe защищает ядро, но не предотвращает запуск руткита.

Отчет о новой разработке был представлен на 16-й конференции ACM по компьютерной и сетевой безопасности (CCS 2009), недавно проведенной в Чикаго. Авторы проекта планируют продолжить исследования, сосредоточившись на тотальной защите ядра. Они также работают над версией HookSafe для Windows.

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Страховые компании хотят доступ к системе распознавания лиц Москвы

Страховые компании желают получить прямой доступ к записям, зафиксированным системой видеонаблюдения в Москве. По мнению страховщиков, это поможет повысить эффективность выявления мошеннических действий и урегулировать отдельные спорные страховые случаи. Эксперты же отмечают риски информационной безопасности, возникающие при таком подходе.

Страховые компании, само собой, готовы платить за подобный доступ. Скорее всего, речь будет идти о крупной сумме, поскольку содержание системы видеонаблюдения обходится властям Москвы в 9 миллиардов рублей в год.

В настоящее время желающие получить доступ к видеозаписям ведут переговоры с ДИТ (департамент информационных технологий) Москвы. Главным инициатором, выдвинувшим такое предложение, стал Банк России.

Поскольку сейчас по всей России хотят запустить аппаратно-программный комплекс (АПК) «Безопасный город», страховщики планируют в будущем получить доступ и к нему. Об этом газете «Коммерсантъ» рассказали источники, знакомые с ходом переговоров.

На сегодняшний день известно (и ДИТ Москвы подтверждает это), что доступ к камерам видеонаблюдения имеют сотрудники правоохранительных органов, а также уполномоченные сотрудники органов власти.

Что касается страховых компаний, в настоящий момент они могут направить в мэрию столицы специальный запрос, содержащий описание места происшествия. В этом случае спустя три дня власти могут предоставить таким компаниям записи камер.

Тем не менее отдельные эксперты в области информационной безопасности отметили риски, связанные с открытием доступа новым лицам. В частности, Андрей Арсентьев из InfoWatch указал на опасность утечек, которая возрастает параллельно вхождению новых партнёров.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru