Nowa generacja systemów antywirusowych

Program antywirusowy na twoim komputerze może stać się artefaktem przeszłości dzięki nowemu podejściu "przetwarzania rozproszonego" ("cloud computing") do szkodliwego oprogramowania opracowanego na Uniwersytecie Michigan. Rozproszone odnosi się do aplikacji i usług dostępnych w Internecie raczej niż w jakimś określonym jego miejscu. Tradycyjne antywirusy instalowane na milionach komputerów są zdaniem badaczy coraz mniej skuteczne.

Twierdzą oni, że wykrywalność nowych zagrożeń jest na poziomie 35%, a okno na załatanie po publikacji podatności wynosi 48 dni. To znaczy, że nowe zagrożenia szaleją na wolności przez przeciętnie siedem tygodni. Również programom antywirusowym przytrafiają się podatności.

Nowe podejście badaczy nazwane CloudAV,przesuwa funkcjonalność antywirusową w "chmurę sieciową" z osobistych komputerów. CloudAV analizuje podejrzane pliki używając wielu programów antywirusowych i skanerów behawioralnych równocześnie." CloudAV wirtualizuje i równolegle skanuje używając silników wielu programów antywirusowych wydatnie podnosząc całkowitą ochronę." Mówi Farnam Jahanian, profesor nauk komputerowych i inżynierii w departamencie Elektrycznej Inżynierii i Nauk Komputerowych. Jahanian, Jon Oberheide, Evan Cooke zaprezentowali dokument o nowym podejściu na USENIX Security Symposium.

CloudAV uruchamia wiele silników antywirusowych i metod wykrywania równocześnie na wielu wirtualnych maszynach znajdujących się w "chmurze sieciowej" (może coś zbliżonego do odpytywania DNS bez ttl). Na komputerach użytkowników znajduje się tylko prosty klient, dzięki czemu oprogramowanie antywirusowe może równie dobrze być użyte na prostych urządzeniach mobilnych, które nie mają odpowiednich zasobów sprzętowych.Klienci CloudAV również nie muszą już aktualizować bazy danych sygnatur wirusów.

Agent bada każdy plik,kalkulując dla niego unikalny UID i porównuje z już zbadanymi na komputerze lub w sieci. UID może być kalkulowany jako hash pliku np metodą MD-5 albo SHA-1.

Jeżeli plik nie był wcześniej badany to wysyła go do analizy w systemie rozproszonym. UID wraz z wynikiem będzie przechowywany lokalnie i rozproszenie. Aby zwiększyć kompatybilność offline, UID przeanalizowanych plików co jakiś czas mogą być rozsyłane do klientów.Dla zmniejszenia uciążliwości architektura kalkuluje UID i analizuje plik (w razie potrzeby wysyła)jak tylko zostanie zapisany na komputerze. Ale pozyskiwanie plików od użytkowników to nie jest jedyne źródło uzyskiwania UID plików.

Mogą one być zbierane i analizowane bezpośrednio w sieci, potwierdzając użytkownikowi, że plik był wcześniej analizowany i jest bezpieczny.

Publikacje na ten temat warto przeczytać pod adresami:
http://www.eecs.umich.edu/fjgroup/pubs/cloudav-usenix08.pdf
http://www.eecs.umich.edu/fjgroup/pubs/cloud-mobivirt08.pdf
http://www.eecs.umich.edu/fjgroup/pubs/cloud-hotsec07.pdf

Realizacja: SIPLEX Studio