Grupa naukowców z Francji sprawiła, że Internet Rzeczy będzie bezpieczniejszy. Badacze udowodnili, że promieniowanie elektromagnetyczne może być rejestrowane i wykorzystywane do wykrywania i identyfikacji złośliwego oprogramowania działającego na urządzeniach IoT.
IRISA (Institut de recherche en informatique et systèmes aléatoires – Instytut Badawczy Informatyki i Systemów Losowych) to wspólne centrum badawcze kilku francuskich uczelni i instytucji zajmujące się informatyką. Opracowane przez naukowców tam pracujących nowatorskie podejście do wykrywania malware oferuje wiele korzyści. Na monitorowanym urządzeniu nie musi być zainstalowane żadne konkretne oprogramowanie, a więc nie będzie ono wykrywane przez wirusa i omijane przez jego twórców.
Badacze zauważają, że „malware nie ma kontroli nad zewnętrznymi zdarzeniami na poziomie sprzętowym (np. nad promieniowaniem EM, rozpraszaniem ciepła), a więc system ochrony oparty na cechach sprzętowych nie może zostać zniszczony, nawet jeśli wirus posiada maksymalne uprawnienia na maszynie. W związku z tym, dzięki PEM, możliwe staje się wykrywanie ukrytego złośliwego oprogramowania (np. rootkitów na poziomie jądra), które są w stanie uniknąć metod analizy opartych na tradycyjnych programach antywirusowych”.
Internet Rzeczy to urządzenia, na których nie zawsze będzie można zainstalować oprogramowanie antywirusowe
Kolejną zaletą tego rozwiązania jest to jest to, że monitorowanie emisji EM nie wymaga żadnych modyfikacji urządzenia docelowego, co oznacza, że metoda nie jest zależna od konkretnej architektury urządzenia, systemu operacyjnego lub możliwości obliczeniowych. Ostatnie miesiące przynoszą nam wiele ciekawych odkryć w temacie Internetu Rzeczy. Niedawno pisaliśmy o bardzo ciekawym rozwiązaniu – polecamy nasz tekst „Biodegradowalna bateria zrewolucjonizuje Internet Rzeczy?”.
Aby przetestować swoje podejście, badacze wybrali najprostszy komputer Raspberry Pi i mierzyli promieniowanie EM podczas wykonywania zarówno malware, jak i zwykłych aplikacji (przy użyciu różnych metod maskowania) za pomocą oscyloskopu i sondy pola H do rejestrowania sygnału EM. Z zebranej aktywności elektromagnetycznej wygenerowano dziesiątki tysięcy spektrogramów, które zostały wykorzystane do trenowania kilku modeli uczenia maszynowego, w celu klasyfikacji złośliwego oprogramowania.
Celem było sprawdzenie, czy konfiguracja poprawnie zaklasyfikuje wykonywane pliki binarne do jednej z czterech klas: ransomware, rootkit, DDoS i benign. Jak się okazało, wszystkie modele okazały się w tym niezwykle skuteczne (dokładność > 98%), a splotowa sieć neuronowa (CNN) szczególnie (dokładność 99,82%). Są one również niezwykle dokładne, jeśli chodzi o identyfikację rzeczywistej rodziny złośliwego oprogramowania, a nie tylko jego typu.
Internet Rzeczy to prawdziwa rewolucja, przed którą właśnie stoimy. W ciągu najbliższych kilku lat zaczniemy spotykać coraz więcej urządzeń IoT. Niektóre z nich będą posiadać znaczną moc obliczeniową i systemy operacyjne z procesorami wielordzeniowymi, co oznacza, że będą mogło być podatne na podobne zagrożenia, jak zwykłe komputery. Trzeba uczciwie przyznać, że rozwiązania do wykrywania malware specyficznego dla IoT wciąż pozostają w fazie rozwoju.
Internet Rzeczy wymaga wykrywania także nieznanego jeszcze oprogramowania złośliwego
Dlatego rozwiązanie zaproponowane przez Duy-Phuc Pham, Damien Marion, Matthieu Mastio i Annelie Heuser może być szczególnie przydatne dla analityków złośliwego oprogramowania. Wygląda na to, że jest w stanie wykryć nowe wirusy, bez względu na to, jakie techniki maskowania stosują twórcy złośliwego oprogramowania.
Francuscy naukowcy zauważyli, że „podczas gdy poprzednie rozwiązania mogą być omijane, nasze wyniki pokazują, że możemy rozróżnić techniki maskujące wyłącznie na podstawie śladów EM. To daje możliwość analizy ewolucji złośliwego oprogramowania IoT. Biorąc pod uwagę nasze wyniki eksperymentalne, analitycy złośliwego oprogramowania uzyskają lepsze zrozumienie wariantu, typu/rodziny, ewolucji grup wirusów, szczególnie w kontekście, gdy systemy oprogramowania zawodzą (z powodu maskowania) lub nie mogą być stosowane (ze względu na ograniczone zasoby lub procesy aktualizacji na urządzeniu)”.
Internet Rzeczy to temat mało powszechnie znany, który jednak w ciągu najbliższych lat zawojuje nasze życie. Na naszym blogu staramy się śledzić najnowsze trendy i rozwiązania z nimi związane. Polecamy lekturę naszych tekstów, na przykład „Bezprzewodowe ładowanie urządzeń przez sieć 5G”.
Źródło: Help Net Security