フットプリント100kB以下のソフトウェアが核施設などのインフラを守る? 31
ストーリー by headless
防御 部門より
防御 部門より
taraiok 曰く、
英スタートアップ企業Abatisのアンチウイルスソリューション、「Abatis HDF」が注目を集めているそうだ。Abatis HDFはロッキード・マーチンや民間の原子力関連施設、航空交通管制システム、スイス軍、国連Webサイトなどで使われているという(Abatis HDF、 The Stackの記事、 ロッキード・マーチンによるリポート: PDF、 Slashdotの記事)。
Abatis HDFのフットプリントは100kB以下であり、Windows版はカーネルドライバーとして実装されている。Linuxバージョンも用意されており、すべての攻撃者からストレージへの書き込みを防ぐことができる。サンドボックスや署名ファイル、ホワイトリストといったものは一切必要とせず、電気料金を7%節約することにもつながるという。
同社CEOのChristian Rogan氏は、具体的な動作は説明できないとしつつも、オンメモリで動作しカーネル内防御機構として機能するとしている。リポートによれば、不正なI/Oアクティビティを100%防止できるとされる。
SlashdotではAbatis HDFの性能について懐疑的な見方が強いようだが、皆さんはどう思われるだろうか。
アンチチートツール? (スコア:3)
ネトゲで使われるチート対策ツールの変種っぽい気がする。同じCPUで動いているんだから原理的には無力なのに蔓延るのが謎だけど、一定の採用数はありそう。
Re: (スコア:0)
日本や韓国ではすでに当たり前(役に立たないのに害しかないことも含めて)だけど欧米人には珍しかったんじゃねーの。
Re:アンチチートツール? (スコア:1)
珍しくないよ。
Re: (スコア:0)
珍しいよ。
Re:アンチチートツール? (スコア:2)
BlizzardとかEAとか大手の課金ありネトゲはだいたい何らかのアンチチートが入ってるけど。
Re: (スコア:0)
コレが本来のOSをゲストとして動作させるハイパーバイザとして実現されているなら、
昇格などのセキュリティホールが無ければ一応まじめに保護することが可能だよ。
この場合ハイパーバイザの「制御下にある」ゲストを拘束する物だから問題ない。
チート対策ツール付きクライアントの挙動を真似た変造クライアントなんかだと、
「通信先の」サーバからそれを識別できないからチート対策ツールが無意味となる。
自分的には、どうせセキュリティホールが残ってるだろうとか、
真面目なハイパーバイザじゃないだろう的な意味で信用しきれないけど。
Re:アンチチートツール? (スコア:2)
Protects legacy and new operating systems from Windows NT4 to Windows 7とか書いてあるし、ハイパーバイザっぽさがないなぁ。ハイパーバイザだとしても、自前で書いたっぽくも見えないし。
ローカルディスクへの書き込みを(ウイルス以外も)一切不許可とか? (スコア:1)
フットプリントが小さいのに効果絶大、と言われると、
システムが入っているローカルディスクへの書き込みを、ウイルスかどうか等、見分けずに、一切不許可とする、とか、
新しいプロセスの立ち上げを一切不許可とする、とか、そういうソフトかしら?
産業用のシステムで、一旦起動後は決まったプログラムしか使わない、インターネットから切り離されているから、アップデートもしない、
決まったプログラムしか使わないので、メモリの使用量も分かっていて、ディスクスワップも発生しない、
とか、そういう処理系ならば、ログ出力に使うディスク(システムが入っているものとは物理的に別のディスク)以外に、
一切書き込みを行わない、とかの荒っぽい処理でもセキュリティ上、有用かもしれない。
プロセスも、決まったものしか使わないのなら、起動後、通常運転に移った時点で、新規プロセスを立ち上げる必要はなくなるし、
ディスクに一切書き込みしないのなら、起動時に不正なプロセスが混じることもないし。
Re: (スコア:0)
codered ワームをお忘れですか?
役に立ちそう (スコア:1)
Abatis のサイトをざっとを読んだけど、
"HOW ABATIS HDF WORKS"のところに以下のように書いてある。
"Ideally, Abatis HDF should be deployed on a newly installed ‘clean’ operating system. From this secure initial state (baseline), Abatis HDF will prevent malware infection then on."
(理想的には、abatis HDF はクリーンなOSに新規に導入されるべきである。このセキュアな初期状態[ベースライン]よりAbatis HDF はマルウェアの感染を防ぐ)
ここから想像すると、クリーンな安定稼働状態でのアプリからのストレージのI/O をベースラインとして記録してそれをホワイトリストとして記憶する。それ以外のI/Oはブラックリストとしてアクセスを禁ずる、って感じかな。
ホワイトリスト方式なので、新しいマルウェアが出てきても対応できる、ってことだね。
最初のベースラインの定義が多少面倒だけど、運用を一通り回してやれば定義できるだろうし、原発システムや交通管制システムとかの「安定稼働が最重要項目」であるシステムには役に立ちそう。
Re: (スコア:0)
緊急停止など、滅多に行わない動作のテストを忘れて、
いざ実行しようとすると動かない、までテンプレ。
ロッキード・マーチンのpdf (スコア:1)
このpdfファイルはabatis-hdf.com下に置かれてるけど、ホンモノなの?と思ったりする。
や、ロッキード・マーチン社は軍関係だからウソなんぞ広められたりしたら大騒ぎになるだろうから、本当にロッキード社で書かれたpdfなんだろうけど、まさかなぁと疑ってみたり。
# そもそも私はまだ当のpdfを読んですらいないで疑ってたりするい失礼なヤツである
Re:ロッキード・マーチンのpdf (スコア:1)
まあ、いくらなんでもpdfを読まずに疑うってのもアレだ。
というわけで少しpdfを読んだら、さらに疑問が出た。
1) Anti-Virusプログラムの「電力消費」だけを論じており、その本来の目的については何も論じていない(なんで?)
2) Abatis以外のAVは名が伏せられている(どうして?)
3) 試行回数等、ロッキード・マーチン社の研究者なら書くであろう項目がぜんぜんない
見た感じ、「売り込み用」のこんな感じのレポート出して稟議通してくださいよ、といったテンプレものに思えるなあ。
中身は (スコア:0)
ただのnopの塊だったりして
Re:中身は (スコア:1)
最初はまったくの白紙で、未感染状態の稼動履歴からホワイトリストを生成するとか、そんな方式なのかしらん?
ファームウェア感染タイプも大丈夫? (スコア:0)
英語は苦手なんで元記事やリンクは読んでいないんですが、
HDD等のファームウェア感染タイプは防ぐことができるのかしら?
Re:ファームウェア感染タイプも大丈夫? (スコア:1)
すべての攻撃者じゃなくてすべての利用者がストレージに書き込めないのでは。それなら防げるね
Re:ファームウェア感染タイプも大丈夫? (スコア:1)
確かにそれなら100%ですね。
読み込み専用のHDDとか聞いたことないので、それを実現するものとしては有りです。
Re:ファームウェア感染タイプも大丈夫? (スコア:1)
HDDへの書き込みを乗っ取り書き換え内容をHDDの空き領域に保存して、
読み込み時に合成するってタイプのPC保護ソフトは存在してるね。
再起動時には空き領域に書いた内容は無視されるので保護開始時点の状態に戻る。
# XPで触ってみたことあるけど、名前とかジャンル名を忘れた…
# PXEブート(ネットワークブート)でも実用性のためにそういうことする場合もあるし
その手の奴は大抵(恐らく)ドライバレベルで乗っ取り掛けるから、
コイツも同じ方向性だとするとハイパーバイザとして動いてカーネルの上で仕掛けるのかな。
でも、HDD等のファームウェアへの感染の場合、防げる保証はないと思います。
SMARTの取得とかそういう部分に脆弱性があってファームが云々って場合だと、
該当するAPIをこのシステムがエミュレーションなり無効化していないと保護できない。
ファームに感染した場合、次回起動時にこのシステムがロードされる前に悪さを出来るので意味が無い。
…そもそも、感染したら再起動するまでは感染したままだから機密保護とかの役には立たない……
全システムを一斉に再起動すれば復旧できるってだけでも十分使い道はあるんだけど、銀の弾丸とは程遠い。
Re: (スコア:0)
メモリ上で動作するウイルスから情報流出させ放題?
Re: (スコア:0)
本文信じる限りではそうかも。ストレージには書き込まれ無いってことだからリセットすれば直るってことなのかな。
Re: (スコア:0)
SDカード「横についてる書き込み禁止のスイッチを思い出して!」
Windowsに実装されてる? (スコア:0)
って時点で機能的に怪しくないか。効果あるならその他のアンチウィルス要らないし被害も出ないはず。
Re: (スコア:0)
カーネルを乗っ取るアンチウィルスソフトなんて、怖くて誰も使えないだろ。OS側の機能として提供されるのならまだしも。
んん??? (スコア:0)
この機能自体がサンドボックスだったりしないか?
そういや似た機能をSDカード上に搭載したものを
最近リリースで見たような気が
読み書き自体をアクセス元アプリごとに
自動で暗号化できるとかなんとか
プライベートキーとパブリックキーみたいな
管理の仕方だった気がします
OSやそのうえで走るアプリに組み込むと
複合時に便乗されるから
ストレージ側で対処したほうがいいってコンセプトでしたね
# 最近物忘れが激しくてのぉ
Re:んん??? (スコア:1)
その方式の場合、SDカードが受け取れる情報からI/Oリクエストしたアプリを特定するって可能なんですかね?というのが気になります。
うじゃうじゃ
ただのROM化だったりして (スコア:0)
インストール後、
ストレージがROで動作しオンメモリで稼働。
組込用途特殊バージョンのwindowsにプロセス監視を強化したもの
常時プロセスファイルの署名を監視とか。
これくらいなら100kに収まりそうだ。
Re: (スコア:0)
署名ファイルは一切必要ないって豪語してるみたいだけど
電気料金を7%節約? (スコア:0)
なにをどうやったら電気料金まで下がる?
ASテクノロジーでも搭載しているのか?
Re:電気料金を7%節約? (スコア:1)
原文をざっと読んだ感じだと、他のアンチウイルスソフトを使う場合と比べて節約される、という話らしい。
こういうニュースを読むと (スコア:0)
例えば、どこか地下の秘密基地かどこかで
デンゼル・ワシントンあたり演じる”ボス”が
「なんとか突破できねえのか、このタコ!」
なんて、プログラマーに銃をつきつけてる場面を
妄想してしまうんだけど・・・
アンチウイルスソフト作るのも人間なら、ウイルス作るのも人間だからなあ