Как стать автором
Обновить

Принципы, изложенные в трактатах Сунь Цзы лягут в основу концепции безопасности в новой ОС “Chameleon”

Время на прочтение 3 мин
Количество просмотров 9.2K
Всего голосов 12: ↑8 и ↓4 +4
Комментарии 7

Комментарии 7

А через пару месяцев выйдет статья «5 способов получить доступ к основной системе используя уязвимости».

Вообще, есть же безопасные системы типа Qubes OS, где любой задаче или группе задач можно назначить свою виртуальную машину, что позволяет, к примеру, иметь три независимые и не подозревающие о существовании друг друга копии браузера — для хождения по сомнительным ссылкам, для повседневной работы и для банковских операций.
Много слов и мало конкретики
«в то время как обнаруженные потенциально небезопасные программы будут секвестрированы в третьей среде,»
в песочнице что ли будут запускаться? И в чем новинка такого решения?
Deception has been used against cyber-attacks before, mostly in “honeypot” strategies that lure attackers in to gather information. But those deceptions typically are quickly revealed, Oliveira says, which limits their effectiveness.What sets Chameleon apart is inconsistent deception: Software that has been quarantined – or malware that bypasses standard detection systems – runs in an unfavorable environment until proven either benign or malicious. — так разницу поясняют в оригинале. Конкретики маловато, да и в оригинале статьи на сайте университета, честно говоря, не больше. Пишут, что на стадии разработки концепции. Сама идея выглядит интересно — создать идеальную среду для зловреда, где он мог бы полностью раскрыться, вредоносить в полной уверенности, что наносит ущерб по адресу.
Из нового тут только анализ поведения. А так технология давно известна… Try-and-Decide — интересный софт, позволяющий откатить изменения в системе если что-то пошло не так. Acronis, например, позволяет вести непрерывную резервную копию и откатить изменения в случае необходимости хоть минутой ранее.

Но у всех этих методов есть слабое место — драйвер через который происходит перехват, если троян находится в системе ДО установки этого драйвера — дело плохо, если он использует уязвимость драйвера и обойдёт виртуализацию — дело плохо… в конце концов, он может имитировать легальную подпись.
Ну для локальной работы можно использовать транзакционное хранилище, и завершать транзакцию только когда программа признана хорошей, годной. Но если программа берет и передает секретные файлу куда-то в интернет и по ответу принимает какое-то решение, то как решить, можно ей это делать или нет?
Смесь песочницы с хонейпотом. При запуске нового приложения, она дает не прямой доступ к файлам, а условный (копию файла), для критических системных данных вообще можно генерировать случайные параметры.
В случае если программа пытается дополнительно авторизоваться «подбором» то на случайный цикл сказать ей «Угадал» и сразу пометить как подозрительную, и начать следить за ней как за зловредной.
Ну и так далее.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий