Адаптивный антивирус A3 самостоятельно обнаружил и исправил уязвимость ShellShock за 4 минуты

в 17:59, , рубрики: виртуальные машины, информационная безопасность, сервер

IT-специалисты из Университета Юты создали пакет программ, который не только выявляет и удаляет неизвестные ранее вирусы, но и исправляет последствия их работы. Проект под названием A3 (Advanced Adaptive Applications, а по-нашему — Передовые Приспосабливающиеся Прогаммы, П3) работает с виртуальными машинами, запущенными на серверах.

В отличие от обычного антивируса, у которого есть каталог вирусов, по которому он пытается найти и обезвредить вредоносные программы, А3 отслеживает работу виртуалки и отмечает, когда что-то идёт не так (распознаёт подозрительное и нестандартное поведение системы). Одна из программ проекта записывает состояние виртуальной машины и при необходимости может «отмотать» запись для анализа и исправления.

На «показательных выступлениях» А3 распознал атаку Shellshock (печально известный баг bash) и починил последствия на работающем сервере всего за 4 минуты.

В отчёте о работе программы представлены подробности работы с этой уязвимостью. После попытки использовать уязвимость на тестовом сервере

GET /appstore/index.php HTTP/1.1
User-Agent: () { :;}; /bin/cat /home/mitll/passwd > /tmp/hello.txt
Host: 155.98.38.76:7701
Accept: */* 

система защиты А3 сработала (попытка получения доступа к запрещённой директории). А3 за 2 минуты просканировал работу виртуальной машины, обнаружил запрещённый вызов, и ещё 1.5 минуты понадобилось ему для поиска проблемы в исходном коде Bash. После этого А3 пропатчил bash, отключив функциональность, приводящую к проблеме, и виртуальная машина продолжила работу в штатном режиме.

Эрик Эйде, представитель института, говорит в интервью на сайте института: «Здорово, что программа может быстро и без участия человека найти приемлемое решение и исправить серьёзную и весьма распространённую проблему в безопасности. Круто, что можно выбрать “уязвимость недели” и программа с ней справляется».

Пока проект находится в стадии «proof of concept», и разработчики рассматривают возможность его использования на реальных облачных сервисах. Потенциально возможно использовать такой софт на облачных хостингах типа Amazon: если вирус остановит или сломает выполнение виртуалки, программа может починить её и снова запустить автоматически. Проект пока не рассматривается как софт для домашнего использования, хотя в принципе это не исключено.

Проект A3 — часть обширной программы от DARPA под названием CRASH (аббревиатура от «разработка надёжных, адаптивных, безопасных серверов с чистого листа»), в рамках которого пытаются придумать вариант более безопасной глобальной сети.

У проекта открытый исходный код — желающие могут ознакомиться с подробностями на странице проекта.

Автор: SLY_G

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js