Ny type virusvern fra Blindern-student

En Blindern-student starter sitt eget selskap med egenutviklet antivirus av ny type.

Tidligere Blindern-student Tom Lysemose Hansen har fått etablererstipend fra Birkeland Innovasjon for å gå videre med teknologi som han utviklet i sin hovedfagoppgave i informatikk, skriver forskningsmagasinet Apollon. ProMon skal være det første norske selskapet som er etablert på bakgrunn av en hovedfagsoppgave. Lysemose Hansen skal bruke de kommende ukene til å presentere teknologien for store aktører innen antivirus. Samtidig som han driver ProMon er han også doktorgradstudent.

Fra et teknologisk synspunkt framstår ProMon – løsningen og selskapet har samme navn – som en atferdsblokkerer («behavior blocker») spesielt innrettet på å ta ukjent ondsinnet kode som utnytter usikrede buffere i applikasjoner på PC-en.

Usikrede buffere er en typisk programmeringsfeil som hackere jakter på. De siste par årene har spektakulære utbrudd som Sasser og Blaster utnyttet usikrede buffere som inntil da var ukjent. Programvareleverandører erkjenner at det fortsatt kan finnes mange usikrede buffere i kurante applikasjoner, og innrømmer at dagens vern mot nye virus, ormer og trojanere som utnytter ennå ukjente sårbarheter – som WMF-sårbarheten mellom jul og nyttår – er svært mangelfull.

– Microsoft kom med en løsning mot usikrede buffere i Service Pack 2 for Windows XP for over halvannet år siden, sier Lysemose Hansen til digi.no. – Microsofts løsning beskytter bare en liten del av minneområdet, der det ikke er lov til å eksekvere kode. Man kan lage angrep som hopper over dette området, noe Microsoft selv innrømmer er forholdsvis overkommelig.

Vernet i XP SP2 må derfor suppleres av tilleggsløsninger.

– MIT har utviklet et program som gir god beskyttelse mot ukjente virus som angriper ennå uoppdagede sårbarheter, men det er veldig ineffektivt. Mitt program kombinerer høy beskyttelse med lav overhead. I denne kombinasjonen er jeg først, slår Lysemose Hansen fast.

ProMon beskytter utvalgte applikasjoner og utvalgte deler av operativsystemet. Virkemåten skisseres slik på selskapets nettsted:

– ProMon legger seg inn i en applikasjon, for eksempel Internet Explorer, og overvåker interne og eksterne kall. Jeg fryser Internet Explorer før den settes i gang, legger inn og initialiserer ProMon, og gir så Internet Explorer tillatelse til å fortsette, og fungere på vanlig vis. Utvalgte tjenester i Windows Services kan håndteres på samme måte.

Det som skjer, er altså at ProMon sprøytes inn i en applikasjon som en slags vaksine, og hindrer den fra å oppføre seg unormalt.

– Det er ikke bare utilbørlige kall mot andre tjenester som blokkeres, men utilbørlige interne kall i selve applikasjonen, presiserer Lysemoen Hansen. – Det innebærer at viruset aldri får gjort noen av sine oppgaver. Den fremmede koden som er tilført systemet gjennom en usikret buffer, får ikke utført noe unormalt verken med applikasjonen den angriper eller det øvrige systemet.

ProMon erstatter ikke andre verktøy for bedre IT-sikkerhet, men supplerer dem.

– ProMon kan brukes til å beskytte de utvalgte applikasjonene og Windows-tjenestene som håndterer nettforbindelser og som følgelig er spesielt utsatt for angrep. Det dreier seg om rundt fem tjenester i Windows, og applikasjoner som nettlesere, IP-telefoni, lynmeldere og andre som er aktive innen kommunikasjon og som er kjent som bytte for hackere.

Til toppen