«Лаборатория Касперского» сообщает о патентовании аппаратного антивируса

[Black Angel 125]

«Лаборатория Касперского» сообщает о патентовании аппаратного антивируса

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об успешном патентовании в США аппаратной антивирусной системы, позволяющей эффективно бороться с руткитами.

В рамках новой технологии предлагается использовать аппаратный антивирус — устройство, нейтрализующее самый распространённый тип угроз — вредоносные программы, размещающиеся на жестком диске компьютера или заражающие имеющиеся на нем файлы.

Запатентованный антивирус проверяет данные, подлежащие записи на жесткий диск, идентифицирует вредоносные программы и блокирует их запись.

Автор изобретения — главный технологический эксперт «Лаборатории Касперского» Олег Зайцев. Патент на новую технологию зарегистрирован Патентным бюро США 2 февраля 2010 года под номером 7 657 941.

Запатентованное устройство размещают между накопителем (жестким или SSD-диском) и вычислительным блоком (процессором и оперативной памятью), подключая к системной шине или же интегрируя в контроллер жесткого диска. При работе аппаратный антивирус блокирует или разрешает запись данных на диск, выдавая сообщения об угрозах и своих действиях пользователю (диалог с пользователем возможен при наличии на ПК утилиты управления аппаратным антивирусом). Устройство способно работать отдельно или совместно с программным антивирусом.

Благодаря аппаратной, а не программной реализации, изобретённая технология независима от конфигурации операционной системы и эффективна для борьбы с вредоносными программами, повышающими свои привилегии в системе, например, такой опасной угрозой, как руткиты. Руткиты перехватывают системные функции ОС, что даёт им возможность активно противодействовать своему обнаружению и удалению программными антивирусами, работающими в той же среде. Так, руткиты способны блокировать запуск антивирусного приложения, отслеживать его действия и восстанавливать удалённые им вредоносные процессы, изменять настройки удаления в системном реестре и т.д. В случае же использования аппаратного решения, не работающего в среде заражённой ОС, все эти методы окажутся безрезультатными, и руткит будет быстро нейтрализован.

В запатентованном устройстве используются собственные обновляемые антивирусные базы, защищаемые при обновлении от вредоносных кодов и ошибочных записей. Предложенный антивирус имеет собственные процессор и память, то есть не потребляет ресурсов компьютера, к которому подключен. При необходимости к нему можно подсоединить отдельный блок питания.

«И программный антивирус, и вредоносная программа — программные продукты, обладающие в общем случае равными правами, — говорит главный технологический эксперт «Лаборатории Касперского» Олег Зайцев. — В такой ситуации аппаратный антивирус имеет преимущество перед программным, поскольку контролирует все обращения к устройству памяти, оставаясь при этом недосягаемым для вируса. Это очень важно для борьбы с такими сложными угрозами как руткиты и буткиты. Кроме того, аппаратный антивирус бесконфликтно работает с любыми защитными средствами, а также с таким специализированным программным обеспечением, как ПО серверов и специализированных ПК, например, банкоматов».

«Являясь инновационной компанией, мы постоянно ищем нетрадиционные решения, коренным образом улучшающие защиту наших клиентов, — заявляет Николай Гребенников, директор по исследованиям и разработке «Лаборатории Касперского». — Область наших изысканий простирается от облачных вычислений до использования нетрадиционных аппаратных решений. Запатентованный аппаратный антивирус позволит нам в будущем преодолеть ограничения в защите компьютера, которые накладывают операционные системы".

В настоящее время патентные организации США, России, Китая и Европы рассматривают более пяти десятков патентных заявок «Лаборатории Касперского», описывающих уникальные инновационные технологии в области информационной безопасности.

Источник

[Андрей-001 1099]

А изображение у этого устройства с техническими характеристиками есть?

Английская версия >>>

[kvit 85]

  Black Angel сказал:

«Лаборатория Касперского» сообщает о патентовании аппаратного антивируса

Запатентованный антивирус проверяет данные, подлежащие записи на жесткий диск, идентифицирует вредоносные программы и блокирует их запись.

напомнило Sheriff

[Deja_Vu 366]

Есть хотя бы 1 собранный концепт, или пока все только в планах?

[Umnik 997]

Deja_Vu

  Цитата

Патент на новую технологию зарегистрирован Патентным бюро США 2 февраля 2010 года под номером 7 657 941

[Зайцев Олег 402]

  Deja_Vu сказал:

Есть хотя бы 1 собранный концепт, или пока все только в планах?

Да, есть действующий прототип, созданный мной в ходе опытов... Так как без прототипа собственно крайне сложно разрабатывать какие-либо технологии - не удастся понять все проблемы, плюсы и минусы технологии

[Deja_Vu 366]

Umnik

  Цитата

Патент на новую технологию зарегистрирован Патентным бюро США 2 февраля 2010 года под номером 7 657 941

Что мы знаем про патенты США?

То-то же.

Зайцев Олег

Вот это уже реально интересно. Тесты замедления записи информации на HDD и SDD проводились?

[Зайцев Олег 402]

  Deja_Vu сказал:

Зайцев Олег

Вот это уже реально интересно. Тесты замедления записи информации на HDD и SDD проводились?

Проводились ... в моем прототипе стоял HDD на 1.0 и 1.5 Tb, так вот оказалось, что устройство может в общем даже ускорять работу диска, а не замедлять его фокус в том, что для работы аппаратному антивирусу нужна память, у прототипа ее объем был 1 Гб с возможностью поставить больше - а такой объем позволяет часть памяти отвести под кеш, память сейчас стоит недорого ... а идея кеша в данном случае является частью технологии, так как находясь между накопителем и системой в случае проверки "на лету" аппаратный антивирус сначала помещает данные в кеш-память, затем проверяет их и переносит на реальный носитель. Все остальное зависит от алгоритма ... кроме того, железку например ничто не заставляет проверять данные в реальном времени - может например идти фоновое сканирование измененных данных - данный патент описывал идею и технологию, не конкретизируя тонкости реализации ввиду того, что на суть они не влияют.

[Илья Рабинович 521]

Олег, а если будут модифицировать файлы по байтику?

[Зайцев Олег 402]

  Илья Рабинович сказал:

Олег, а если будут модифицировать файлы по байтику?

И что из того ? на защищенном устройством диске то рано или поздно образуется модифицированная копия файла - она и будет задетекчена.

[Deja_Vu 366]

  Зайцев Олег сказал:

И что из того ? на защищенном устройством диске то рано или поздно образуется модифицированная копия файла - она и будет задетекчена.

Надо понимать, что при чтении с диска тоже происходит проверка?

Соответственно появляется вопрос на счет задержек при чтении (просто о побитовом изменении файлов я как то не подумал)

[strat 275]

  Цитата

(диалог с пользователем возможен при наличии на ПК утилиты управления аппаратным антивирусом)

если будет точечная индивидуальная атака на утилиту то означает ли это взлом (подавление/ нарушение функкций) аппаратного антивируса?

[Зайцев Олег 402]

  strat сказал:

если будет точечная индивидуальная атака на утилиту то означает ли это взлом (подавление/ нарушение функкций) аппаратного антивируса?

Ни в коем случае ... утилита может получать отчеты, позволяет обновить базы и программный код, задать некоторые парамеры, влияющие на алгоритм работы - но не более того. Иначе утилита и протокол были бы уязвимостью идеи ... В общем случае можно и без утилиты работать - скачать базы, и положить в заданное место диска под заданным именем (так например прошивку фотоаппаратов обновляют).

  Deja_Vu сказал:

Надо понимать, что при чтении с диска тоже происходит проверка?

Соответственно появляется вопрос на счет задержек при чтении (просто о побитовом изменении файлов я как то не подумал)

Не обязательно. Алгоритмов в сущности три

- проверка при записи с использованием поточных сигнатур

- проверка при чтении - как в обычном антивирусе, при первом обращении к файлу

- проверка фоновая (пометка измененных файлов и их проверка тогда, когда железка посчитает оптимальным) - у ЛК есть и запатентованы технологии для этого - iCheck и iShift и подобные. У железки тут плюс - так как она может сканировать диск деже при выключенном ПК или при его простое (например, юзер играет в стреллялку, ЦП загружен на 100% - а обращений к диску мало, самое время его пошерстить)

[Hiss 110]

Аппаратный антивирус это классно. Но его полная автономность относительно ОС и неподконтрольность пользователю создает проблему. Использование такого устройства требует полного доверия клиента к производителю решения. Но это не какой-то домашний антивирус, отмазки не помогут. Такое доверие словами не заслужить, нужно брать реальные обязательства по конфиденциальности информации клиента. Идентификация любых недокументированых свойств такого агрегата, таких как облако в КИС, посылающее ХЗ что ХЗ куда, поставит крест на этом направлении бизнеса.

Лаборатория к этому готова, не на словах в рекламе, а в деле, чтобы обязательства были записаны черным по белому в лицензии?

[Андрей-001 1099]

  Black Angel сказал:

Патент на новую технологию зарегистрирован Патентным бюро США 2 февраля 2010 года под номером 7 657 941.

Полное описание:

1) http://www.freepatentsonline.com/7657941.html

2) http://www.patentsurf.net/7,657,941 (клик на Full Text)

3) в развернутой вебстранице

4) PDF-документ со схемами.

[rkhunter 150]

Олег, а как собственно на таком уровне можно что-то сканировать, т. е. файлы, если устройство видит только набор байт: абстракции ФС на таком уровне не существует?

[Зайцев Олег 402]

  rkhunter сказал:

Олег, а как собственно на таком уровне можно что-то сканировать, т. е. файлы, если устройство видит только набор байт: абстракции ФС на таком уровне не существует?

железка может работать на двух базовых уровнях - на уровне просто потока байт (и это в частности позволяет проверять читаемый/записываемый поток "на лету", но минус указывался выше - я могу менять файл чуть ли не побайтно и анализ потока в таком случае ничего не покажет), так и на уровне ФС (где мы уже оперируем понятием "файл" и изучаем его как обычно. В рамках патента это не важно, на практике как было опробовано оба метода ... Плюс, что важно - если программный антивирус работает в тандеме с железкой, то он может использовать ее как преимущество для того, чтобы "видеть" реальное содержимое диска в обход системных драйверов и руткитных маскировок.

[rkhunter 150]

Работа на уровне ФС как я понимаю возможна только с антивирусом на борту. Я все же непонимаю как можно работать с файлами на уровне передачи данных по шине. Разве что с системными, которые обычно находятся в фиксированных кластерах.

[sww 486]

  Зайцев Олег сказал:

Плюс, что важно - если программный антивирус работает в тандеме с железкой, то он может использовать ее как преимущество для того, чтобы "видеть" реальное содержимое диска в обход системных драйверов и руткитных маскировок.

А еще можно просто подключить винт к другому компьютеру и увидеть реальное содержимое.

[Зайцев Олег 402]

  sww сказал:

А еще можно просто подключить винт к другому компьютеру и увидеть реальное содержимое.

Совершенно верно - ну а в данном случае аппаратный антивирус по сути и есть этот самый самый гарантировано чистый компьютер, да еще и с антивирусным сканером на борту - в сильно ограниченном смысле конечно ... у меня кстати в энергосистеме подключение HDD к чистому ПК и его сканирование является частью стандартной процедуры проверки и лечения, для этого кстати есть серийно выпускаемые адаптеры с кучей разъемов для всех типов HDD и интерфейсом USB - такой можно подключить, не вытаскивая диск из системника - что крайне удобно, так как некоторые несознательные сборщики ПК опечатывают удерживающие HDD винты стикерами

[Hiss 110]

  Зайцев Олег сказал:

такой можно подключить, не вытаскивая диск из системника - что крайне удобно, так как некоторые несознательные сборщики ПК опечатывают удерживающие HDD винты стикерами

Таких гениев еще не видел чтобы опечатывали винты, крепящие HDD. Как его подключать, корпус ставить рядом с другим, втыкать адаптер и по USB подключать все это к другому компьютеру?

[Андрей-001 1099]

  Зайцев Олег сказал:

такой можно подключить, не вытаскивая диск из системника - что крайне удобно, так как некоторые несознательные сборщики ПК опечатывают удерживающие HDD винты стикерами

Верно. Опечатывают не только винты, но и все подключения к нему, и у самого винта и на обоих концах шлейфа. Это делается ими для того, чтобы был лишний повод отказать в гарантии на проданный заведомо некачественный или контрафактный, или даже рефарбный продукт.

[Зайцев Олег 402]

  Hiss сказал:

Таких гениев еще не видел чтобы опечатывали винты, крепящие HDD. Как его подключать, корпус ставить рядом с другим, втыкать адаптер и по USB подключать все это к другому компьютеру?

зато я видел ... подключают его так - есть специальное аппаратное устройство, размером с два спичечных коробка - внутри контроллер, а по внешним граням - разъемы IDE для 3.5'', IDE 2.5'' и SATA. К устройству ведет длинный кабель + имеется устройство внешнего питания 5/12 В с стандартными разъемами. Такая хитрая штука позволяет подключиться к HDD без его извлечения из корпуса компьютера, что крайне удобно и экономит много времени.

[Зайцев Олег 402]

  Андрей-001 сказал:

Верно. Опечатывают не только винты, но и все подключения к нему, и у самого винта и на обоих концах шлейфа. Это делается ими для того, чтобы был лишний повод отказать в гарантии на проданный заведомо некачественный или контрафактный, или даже рефарбный продукт.

да, да, да ... причем компьютерную лавку до какой-то степени можно понять, им тоже кушать хочется. Причем стикер - это еще хорошо, так иногда на стикер денег жалко - и вместо него клей применяют (аргумент - повышение механической надежности). Мне такой ПК принесли вчера на чистку - я уже думал, придется пилить клей дремелем - там все разъемы на HDD были залиты более чем сантиметровым слоем

[Hiss 110]

Олег, вы рассматривали возможность применения вашего изобретения на ПК с несколькими установленными HDD или с RAID?

Два жестких диска, по отдельности или объединенные в RAID и сейчас бывают. Контроллеры RAID встраивают в недорогие материнские платы, ориентированные на домашний или рынок SOHO. В будущем ИМХО это явление будет еще более частым. Как предполагается применять ваш аппаратный антивирус в такой ситуации, по 1 антивирусной железке на каждый HDD?