Kasperskys antivirusmaskin koples slik at den fanger opp all kommunikasjon mellom pc-en eller serverens prosessor og disken.

Ny maskinvare dreper alle rootkit

Kasperskys patent avslører ondsinnet kode idet den skrives til disk.

Det russiske antivirusselskapet Kaspersky Lab – de kaller seg selv «leverandør av sikkerhet innen innholdsforvaltning» – har fått godkjent et patent for maskinvarebasert antivirus.

Ifølge patentet utgjør løsningen også et absolutt vern mot alle former for «rootkit», det vil si ondsinnet kode som hekter seg fast i operativsystemet, gjør seg usynlig for vanlig antivirus og er bortimot umulig å fjerne med konvensjonelle metoder.

Kasperskys patenterte løsning går ut på å plassere en egen liten dedikert datamaskin, med prosessor, minne og programvare, mellom pc-ens prosessor og disk.

Denne dedikerte maskinen fanger opp alt som kommer fra prosessoren for å skrives til disk. Hvis dataene som prosessoren ønsker å skrive til disk omfatter ondsinnet kode, avslørt gjennom signaturer eller andre metoder, blir de stanset. Bare «rene» data slippes gjennom til disken. Komponenten kan enten koples til systembussen, som på skjemaet nedenfor, eller integreres i diskkontrolleren.

Kasperskys antivirusmaskin koples slik at den fanger opp all kommunikasjon mellom pc-en eller serverens prosessor og disken.
Kasperskys antivirusmaskin koples slik at den fanger opp all kommunikasjon mellom pc-en eller serverens prosessor og disken.

De farligste typene ondsinnet kode graver seg dypt inn i operativsystemet, og har de samme vidtgående systemrettighetene som vanlig antivirus. Det er derfor den er i stand til å skjule seg for antiviruset. Ideen til Kaspersky er å kjøre antivirus i en enhet med et helt eget driftsmiljø, utenfor rekkevidden til pc-ens operativsystem og dens infeksjoner.

Ideen er ikke enestående. Prinsippet ligger til grunn for flere av løsningene til Yoggie Security Systems: De leverer pc-kort og USB-pinner med egen prosessor, minne og sikkerhetsprogramvare.

I patentet peker Kaspersky på at det er et stort skille mellom deres oppfinnelse og apparatene til Yoggie, som har vært i handelen siden august 2007: Yoggie analyserer kun nettrafikken, mens Kaspersky leser alt som skrives til disk.

– [Yoggie] tilbyr ingen form for vern mot rootkit, siden de fungerer utelukkende som filtre for innkommende nettrafikk, heter det i Kaspersky-patentet.

Kaspersky mener filtrering bare virker på datanivået i OSI-modellen for datakommunikasjon.

– Denne modellen verner ikke mot rootkit som allerede befinner seg i datalageret. Derfor må datalageret regelmessig skannes med tanke på rootkit og annen ondsinnet kode.

Kaspersky mener deres patent er den eneste metoden som kan garantere at en rootkit faktisk fjernes i sin helhet.

I likhet med alle løsninger for IT-sikkerhet må antivirusmaskinen til Kaspersky oppdateres jevnlig. Det må selvfølge skje over nettet. Derfor omfatter løsningen en metode som lar innkommende data identifisere seg og legitimere seg for antivirusmaskinen.

Styrken i løsningen er avhengig av at denne autentiseringen ikke kan hackes: Den dagen antivirusmaskinen er tilgjengelig for uvedkommende, blir den også komplett ubrukelig.

    Les også:

Til toppen