אנטי-וירוס מבוסס חומרה מקאספרסקי

חברת קאספרסקי הודיעה בשבוע שעבר על הצלחתה ברישום פטנט בדבר מערכת אנטי-וירוס מבוססת חומרה המסוגלת להתמודד באופן יעיל עם וירוסים מסוג rootkit – בתזמון מושלם עם הידיעה שכשלון העדכון החודשי האחרון של מיקרוסופט בא בעקבות פגיעה של וירוס מסוג זה.

זמן קצר לאחר העדכון האחרון של מערכות ההפעלה Windows XP ו- Vista לחודש פברואר, מיקרוסופט נאלצה לטפל בתלונות רבות מצד לקוחותיה על קריסות ומסכים כחולים (BSOD). המחשבים סרבו לאתחל אחרי נפילות אלו, אפילו ב"Safe Mode". יצרנית התוכנה זיהתה את העדכון הבעייתי (MS10-015) והסירה אותו משרתי הפצת העדכונים. מאוחר יותר התגלה כי המקור למסכים הכחולים היה הוירוס Alureon rootkit שהתמקם לו בנחת באותם מחשבים בעיתיים עוד בטרם התקנת העדכון.
Alureon קושר את עצמו לאחד הדרייברים בו משתמשת מערכת ההפעלה לשם תקשורת עם דיסקים קשיחים והתקנים דומים (atapi.sys, iastor.sys ואחרים). הקובץ חייב להיטען מוקדם מאוד ברצף האתחול ולכן קשה לגלות קוד זדוני שהושתל בו. מיקרוסופט הודיעה כי הקוד הזדוני הוא הסיבה האמיתית לבעיה ואף שלחה בחלק מהמקרים טכנאים לכתובות של בעלי המחשבים שנפגעו על מנת לאסוף ראיות ככל הניתן. ההנחיות לניקוי הוירוס נועדו להחליף את הדרייבר הנגוע.

מה זה בכלל rootkit?

אם בקאספרסקי החליטו שהם רוצים להילחם ב-rootkits אז אולי כדאי גם לנו לשאול מה זה rootkit? כפי שכבר נוכחנו לדעת, זה לא משהו חיובי במיוחד. זהו כינוי לתוכנה או אוסף של תוכנות (או כפי שנהוג לכנותן רושעות, malware) שנועדו לאפשר חדירה למחשב או לגרום לו נזק. המונח rootkit נוצר במקורו במערכות יוניקס בהן יש למשתמש root הרשאות לניהול המערכת, אולם כיום משתמשים במונח זה בכל מערכות ההפעלה וללא קשר לחשבון המשתמש root שאינו קיים כלל במערכות ההפעלה של Windows.

וירוסים מסוג rootkit קשים מאוד לגילוי על ידי תוכנות אנטי-וירוס מכיוון שהם נטענים למערכת מוקדם מאוד בתהליך האתחול, בדרך כלל עוד לפני אתחול תוכנת האנטי-וירוס עצמה. כמו כן, הם מסווים את עובדת הימצאותם במערכת על ידי הסתרת התהליכים שהם מריצים בפני מערכת ההפעלה, שינוי של קבצי מערכת כגון דרייברים או קרנל (kernel) וכדומה. הם בדרך כלל גם מאפשרים גישה מרוחקת מצד הפורץ למערכת המחשב הנגועה.

הפטנט

בקאספרסקי הניחו שתוכנה זדונית יכולה אמנם לשנות קבצי מערכת ולשטות במערכת ההפעלה ובתוכנות האנטי-וירוס, אולם היא אינה מסוגלת להשחית חומרה. על כן הם רשמו פטנט 7,657,941 בדבר "מערכת אנטי-וירוס מבוססת חומרה" שתתבסס על רכיב חומרה שיותקן בין הדיסק הקשיח לחומרת המחשב כרכיב נפרד או כחלק מהדיסק הקשיח. בנוסף מציג הפטנט גם שיטה לעדכון מסד הנתונים של חתימות הוירוסים בהתקן וזאת בשני שלבים: בשלב ראשון יטענו העדכונים ויועברו לאיזור עדכון של מערכת האנטי-וירוס, ובשלב השני תאמת מערכת האנטי-וירוס את העדכונים ולאחר אישורם יעודכן מסד הנתונים.

מערכת האנטי-וירוס המוצעת היא למעשה מערכת מחשב קטנה ומוגבלת הכוללת מעבד ,זיכרון ותוכנת אנטי-וירוס וניתן כמובן להשתמש בה גם בשילוב תוכנת אנטי-וירוס שמותקנת במחשב. המערכת אינה זקוקה לתוכנת סריקה חיצונית, אולם מעצם היותה מערכת הפועלת ברמת חומרה נמוכה אין לה כל דרך להתחבר לרשת ולקבל עדכונים, לכן היא תלויה בתוכנה חיצונית שתבצע עבורה את העדכונים. כמובן שתהליך העדכונים הוא הכרחי וחשוב ומידת יעילותה של המערכת החדשה תלויה גם בתכיפות העדכונים, ככל אנטי-וירוס.

עצם השימוש במעבד וזיכרון נפרדים יוריד את העומס מהמערכת הראשית ויאפשר אולי להעמיס יותר בדיקות על מערכת האנטי-וירוס. אם מיקום הרכיב החדש יאפשר לו לגלות באופן יעיל יותר וירוסים קשים מסוג rootkit אזי זוהי בהחלט מערכת שתתפוס את מקומה בשוק החומרה וייתכן ותשתלב בעתיד כחלק ממערכת המחשב בערכת השבבים או המעבד. בכל מקרה, כפי שזה נראה כעת לא נוותר במהרה על תוכנות האנטי-וירוס להן הורגלנו שכן רכיב מסוג כזה אינו יכול לנטר פעילות רשת או זיכרון ולכן הסתמכות על פתרון זה בלבד לא תכסה את כל טווח הפעילות של הוירוסים. עם זאת, לא נמסר דבר על כוונות החברה לפתח מוצר מסחרי המבוסס על הפטנט.
אין זו הפעם הראשונה בה משתמשת קאספרסקי ברכיבי חומרה על מנת לשפר את יכולות האבטחה של מוצריה – לפני מספר חודשים הודיעה החברה על כוונתה לנצל את טכנולוגיית ה-CUDA של NVIDIA, שמאפשרת לעבד מידע רב באמצעות כרטיס המסך במקום המעבד הראשי, על מנת לשפר את מנגנון זיהוי הוירוסים שלה.