Aktualności: Sprzęt

rozmiar czcionki A A A

Intel pracuje nad technologią wykrywania rootkitów

Józef Muszyński

8 grudnia 2005 11:32

Intel podjął prace projektowe nad technologią pozwalającą na natychmiastowe powiadamianie użytkownika o sprowadzeniu do komputera rootkita, podobnego do XCP (Extended Copy Protection), umieszczanego na niektórych płytach muzycznych CD firmy Sony Music/BMG.

Projekt ma polegać na umieszczeniu na płycie głównej peceta mikroukładu, którego zadaniem ma być ciągłe monitorowanie modyfikacji programów pracujących w pamięci operacyjnej.

XCP firmy Sony implementuje politykę ochrony przed kopiowaniem za pomocą programów typu rootkit. Oprogramowanie takie, to kody przygotowane do modyfikowania systemu operacyjnego lub obowiązujących reguł polityki bez możliwości wykrycia ich przez system operacyjny lub programy antywirusowe. W opinii specjalistów oprogramowanie Sony może być używane przez hakerów do przeprowadzania niewykrywalnych ataków.

Dostawcy rozwiązań ochronnych przyznają, że rootkit XCP zaskoczył ich, chociaż był przez jakiś czas instalowany na tysiącach systemów, zanim problem został zidentyfikowany.

Idea projektu Intela polega na ochronie programów pracujących w pamięci systemowej. Wiele współczesnych robaków i wirusów, takich jak Slammer czy Blaster, podejmuje próbę wyłączenia lub zmiany programów pracujących w pamięci tak, aby wykonywały one kod hakera i rozprzestrzeniały go w sieci.

Projekt o nazwie 'OS Independent Run-Time System Integrity Service' zmierza do ograniczenia ataków rezydujących w pamięci operacyjnych metodą wykrywania zmian w kodach aplikacyjnych w momencie ich wykonywania, co pozwoli użytkownikom podjąć odpowiednią akcję. Specjalny program pracujący w mikroukładzie - poza CPU i pamięcią operacyjną - ma identyfikować rootkit lub inne złośliwe kody wprowadzające zmiany do programów pracujących w pamięci. Wykrycie takiej próby ma wyzwalać kontrakcje, których zestaw może być określony przez administratora.

Jedną z nich może być np. natychmiastowe odłączenie komputera od sieci i wygenerowanie odpowiedniego alarmu.

Intel nie zakłada, że projekt ten zastąpi oprogramowanie antywirusowe czy antyspyware, ale jedynie je uzupełni. Firma przyznaje też, że upłynie jeszcze trochę czasu, zanim rozwiązania takie pojawią się w nowych komputerach PC. Zakończenie projektu przewidywane jest na lata 2008/2009.

Wystaw ocenę:

Średnia ocena:

(Głosów: )

» Dodaj komentarz

Komentarze

Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (7) |
dodaj komentarz |
zobacz wszystkie

znik

ocena: 1
IP: 212.182.104.10
08-12-2005, 12:31

Marnej jakości artykuł. Możliwość instalacji rootkitów wynika z architektury kernela windows, a nie specyfiki konstrukcyjnej peceta opartego na architekturze intela (w zasadzie jest to zmodyfikowana architektura ibm-pc ;P )
Ja jakoś nie widzę możliwości instalacji rootkita na tym samym komputerze, jak by na nim pracował system *BSD, Linux czy zapowiadana pecetowa wersja MacOS-X .
To że mamy takie coś jak rootkity, jest wyłączną zasługą niedbalstwa microsoftu.

maclav13

ocena: brak oceny
IP: 81.168.132.77
08-12-2005, 12:37

@znik: Przypominam że rootkit'y mają swoją długą historię w systemach unixowych właśnie, stąd nazwa.

Wygląda na to że kolejny problem programowy obchodzimy sprzętowo. Problemy sprzętowe obchodzimy programowo i to też traktujemy w sposób naturalny :(

....

ocena: brak oceny
IP: 62.87.219.22
08-12-2005, 12:57

znik "niedbalstwa microsoftu" ??? Raczej celowego działania ukrycia mechanizmów które umożliwiają microsoftowy szpiegowanie. microsoft zawarł w swoim systemie tyle tego badziestwa że sam się już gubi. Mechanizm który umożliwił sony instalacje tego g... był celowo zaimplementowany nie ma mowy zeby powstał w wyniku niedbalstwa. Ale to świadczy o intencjach microsoftu. Pierwsi niemcy wzięli to sobie do serca i cała administracja i nie tylko w niemczech przechodzi na inne systemy niż od microsoftu. Mało tego niemcy twierdzą że przejdą na inny system nawet gdyby miało to ich kosztować więcej niż buble z ms. Więc to początek końca firmy microsoft :)

autor

ocena: brak oceny
IP: 83.27.254.126
08-12-2005, 15:49

Rozwiązanie sprzetowe proponowane przez Intela ma własnie niwelować niedoskonałosci systemów operacyjnych i chronic komputer niezaleznie od słabych stron uzywanego na nim systemu operacyjnego.

tryt

ocena: brak oceny
IP: 84.217.118.173
08-12-2005, 17:58

znik, ale zes sie popisal... Jezeli korzystasz z Linuksa albo *BSD, to na 100% slyszales o chkrootkit albo rkhunter. To, ze soft MS, to kaszanka, wie juz spora grupa osob, ale akurat rootkity, nie sa domena tylko tej firmy ;) Nie sadze, tez zeby zrobili to specjalnie.

QDotTBM

ocena: brak oceny
IP: 18.244.5.253
08-12-2005, 18:44

Autor:
To co ma robic, a to co bedzie robic to sa zupelnie dwie rozne kwestie.

1) Zeby sie dalo wykryc *natychmiast* chip ow musialby siedziec gdzies na FSB. Pomijalne ze wzgledow wydajnosci
=> Czyli mowimy tu o zabawce ktora bedzie dzialac z jakimis sporymi opoznieniami [programy moga chodzic ladne 500us i wiecej bez zabrudzenia L2 i uzycia RAM, szczegolnie na nowoczesnych, 2MB+ CPU... Pamietajmy ze CALY system operacyjny sie miescil w 640kB niedawno :D]
2) Niezaleznie od tego GDZIE to bedzie siedzialo, bedzie to zwalnialo prace systemu / robilo to duzo drozszym niz trzeba.. Bedzie musial ow chip pasozytowac na magistrali pamieci, a wszyscy dzisiaj czynia cuda zeby ta magistrale odciazyc i wrzucic wydajne CPU

Reasumujac, bedzie to zwalnialo system, ORAZ nie zapewni odpowiedniego poziomu bezpieczenstwa bo w 500us = 1+ mln cykli CPU to mozna bardzo duzo szkody narobic z oszukaniem chipu wlacznie (najpewniej).

Wniosek - problem jak najbardziej softwareowy nalezy rozwiazac programowo, a nie wciskac na sile kawalek kitu zeby zatkac to co MS zchrzanil.
A analogicznie, problemy sprzetowe lepiej naprawiac sprzetowo, bedzie wieksza wydajnosc i stabilnosc pracy.

m@x

ocena: 5
IP: 83.27.33.96
09-12-2005, 08:04

Żeby takie sprzętowe rozwiązanie mogło działać i tak ZAWSZE musi być wsparcie programowe ze strony SYSTEMU OPERACYJNEGO. Więc to jest chyba jakaś niezła pomyłka :) Jakby MS chciał taką funkcjonalność w Windowsie, to by sobie to napisał i psu na budę wielkie sprzętowe wsparcie ze strony Intela. Już dzisiaj wiele programów typu firewall Kerio trzyma bazę sygnatur cyfrowych podstawowych programów uruchamianych często w systemie. Gdy zmienia się plik o zmienia się jego sygnatura i fw monituje czy taki zmieniony program w ogóle uruchomić.