EMBEDDED
49 • SETTEMBRE • 2013
49
SOFTWARE
SECURITY
a protezione in tempo reale dei sistemi dalle
minacce informatiche è un aspetto che interessa
un numero sempre maggiore di applicazioni e di
sistemi. LinuxWorks ha presentato una tecnolo-
gia in grado di realizzare efficacemente la rileva-
zione real time, alert e protezione dai rootkit zero-day e bootkit.
LynxSecure 5.2 infatti è la nuova versione del kernel di sepa-
razione e hypervisor di LynuxWorks, progettato con una solu-
zione di virtualizzazione che risponde a requisiti militari. Con
l’aggiunta di funzionalità per la rilevazione in tempo reale di
minacce come i rootkit questo kernel offre numerose opportuni-
tà in ambiente enterprise per migliorare la sicurezza dei sistemi.
Per quanto riguarda le minacce, i rootkit, normalmente, portano
infatti il loro attacco ai livelli più bassi del sistema operativo e
per questo motivo le soluzioni di portezione tradizionali pos-
sono essere poco efficaci e occorre, invece, implementare un
meccanismo di difesa che sia parte di quest’area del sistema.
Per combattere questo tipo di insidie occorre infatti un mecca-
nismo dotato di un approccio diverso rispetto ad altre soluzioni.
Occorre, per esempio che
sia eseguito con un livello di
privilegi più alto rispetto al
sistema operativo sotto attac-
co. Serve anche un completo
controllo della piattaforma
hardware, e il sistema di pro-
tezione deve poter monitora-
re tutte le attività del sistema
operativo e le sue applica-
zioni. Ovviamente questo
meccanismo deve essere in
grado anche di difendersi da
solo, non deve essere cioè
bypassabile.
Secondo gli esperti, i rootkit
sono tra le minacce più peri-
colose attualmente, ma anche le più diffuse. Uno degli elementi
in comune per questo tipo di attacchi sono gli endpoint. Dal
punto di vista degli strumenti per gli interventi di riparazione,
attualmente i tool per rimuovere rootkit e bootkit sono pochi e
spesso possono rimediare soltanto parzialmente ai danni cau-
sati, oltre a richiedere spesso un processo lento e complesso.
Su questo versante si possono apprezzare quindi maggiormente
le nuove funzionalità della versione 5.2 di LynxSecure, che, una
volta installata sugli endpoint, consente di scoprire le infezioni
di rookit e di neutralizzarle, ma anche di intervenire in remoto
su macchine infette, oltre che prevenire successive infezioni.
Per quanto riguarda il principio di funzionamento generale di
LinxSecure, in pratica si utilizza la tecnologia di virtualizzazione
per proteggere gli endpoint. L’hypervisor di LinxSecure infatti è
un hypervisor “Type-0” con architettura bare metal che si diffe-
renzia da quelli “Type 1” per la rimozione di tutte le funzionalità
non indispensabili dal “security sensitive” hypervisor mode e
per la virtualizzazione del sistema operativo guest in un piccolo
package stand alone.
L
Aumenta la protezione
di LynuxWorks
La versione 5.2 di LynxSecure assicura la protezione in tempo reale da rootkit e bootkit utilizzando
la virtualizzazione degli endpoint
Francesco Ferrari
Fig. 1 - Architettura di visualizzazione di LynxSecure 5.2
