Questa estate un professore e uno studente della facoltà di ingegneria dell'Università di Tel Aviv hanno presentato Korset, un HIDS (Host-based Intrusion Detection System) per il kernel di Linux. Intervistati da Science Daily, essi affermano che il metodo usato dal loro software è molto più efficiente rispetto agli anti-virus tradizionali: esso analizza il codice di un programma, crea il relativo diagramma di flusso (control flow graph, CFG) e controlla che il programma non esegua chiamate di sistema al di fuori di quelle prestabilite. Se le fa, ciò può essere sintomo di un'intrusione (code injection e simili).
Al di là delle fantasiose ipotesi del giornalista di Science Daily, che mette in competizione un HIDS con un anti-virus, Korset potrebbe rappresentare un utile livello di protezione in più. Ammesso ovviamente che i due studiosi riescano a superare alcune limitazioni che ha attualmente il programma. Ad esempio l'overhead, che - come riferisce la loro presentazione - se normalmente non supera l'1%, in certi casi particolari può avvicinarsi al 120%.
Inoltre, sempre a detta di chi lo ha realizzato, Korset è ben lontano da essere un prodotto completo:
It does not yet support dynamically linked applications,
multi-threaded applications, signals, setjmp/
longjmp, etc. In addition, there is still a lot of work required
to increase the precision of the automatons, e.g.,
better assembly analysis, better indirect calls analysis,
add additional observable data to the model, improve
the automaton manipulation algorithms, etc.
Sarà interessante vedere quale sarà l'overhead una volta implementati questi ulteriori controlli.
Commenti