Włamywacze, i tworzony przez nich kod, nierzadko wykorzystują legalne aplikacje do przeprowadzania złośliwych działań. Odbywa się to w wyniku modyfikacji "dobrych" aplikacji, np. przez "wstrzyknięcie" do nich złośliwego kodu.

Działanie takie pozwala - przykładowo - na "obejście" firewalla zainstalowanego w naszym komputerze. W procesie uznawanym za bezpieczny tworzony jest bowiem dodatkowy wątek, firewall zaś automatycznie zezwala na komunikację znanej przecież aplikacji (np. klienta pocztowego), nierzadko nie wnikając w to, czy została ona zmodyfikowana, czy nie. Nie trzeba chyba wyjaśniać, jakie to stwarza zagrożenie.

"Utwardzenie" systemu zestawem reguł

Najbardziej efektywnym sposobem zapobiegania tego rodzaju atakom jest używanie technik blokowania, które pozwalają ograniczyć działania podejmowane przez pracujące w systemie aplikacje. Technologia ta, zwana KRE (Kernel Rules Enforcement), składa się z zestawu reguł opisujących dopuszczone i zabronione akcje dla poszczególnych aplikacji lub całych grup programów (np. przeglądarek internetowych, managerów plików itp.). Reguły kontrolują dostęp aplikacji do plików, kont użytkowników, rejestru, obiektów COM, usług systemowych i zasobów sieciowych. Przykładem takiej reguły jest zabronienie serwerowi SQL uruchamiania wiersza poleceń (cmd.exe) oraz aplikacji wymagających do tego interwencji użytkownika. Zasady te pozwalają przeciwdziałać atakom eksploatującym luki systemowe zarówno znane, jak i jeszcze nieodkryte.

Aby zapewnić skuteczne egzekwowanie reguł bezpieczeństwa w domowych komputerach, producenci dostarczają je w postaci predefiniowanego zestawu wbudowanego w pakiet zabezpieczeń razem z antywirusem, firewallem itd. Rozwiązanie takie nie do końca sprawdziłoby się w dużej sieci, ze względu na wymogi elastyczności działania. Dlatego też oprócz domyślnego zestawu reguł udostępniane są specjalne interfejsy umożliwiające precyzyjne ich konfigurowanie. W razie potrzeby można dowolnie wyłączyć, modyfikować, tworzyć nowe reguły zgodnie z wymogami.

Autor jest dyrektorem technicznym Panda Security Polska, analitykiem rynku bezpieczeństwa informatycznego.