Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Computer e, sistemi immunitari

pittogramma Zerouno

Computer e, sistemi immunitari

02 Mag 2004

di Piero Scaruffi

Una manciata di start-up californiane propone soluzioni antivirus che, agendo sul modello degli organismi viventi, isolano tutto ciò che induce un comportamento anomalo nei server, dei quali hanno imparato a conoscere il modo di lavorare. Un approccio che oltre a proteggere i computer da attacchi inediti, può evidenziare problemi  di natura interna al sistema

La Sana Security (www.sanasecurity.com) di San Mateo applica alla difesa dai virus informatici lo stesso approccio dei sistemi immunitari biologici. Di solito, il software anti-virus riconosce un virus o un worm sulla base di un elenco di virus ‘noti’. Il sistema immunitario degli organismi, invece, combatte anche virus che non ha mai visto prima, dato che li riconosce come tali dagli effetti che causano sull’organismo. Primary Response è un software che ‘impara’ il comportamento normale del server (Windows, Ibm Aix, Sun Solaris e Linux). Una volta capito cosa fa il server, il software intercetta qualsiasi cosa che causi una devianza dalla norma, e ogni volta che un allarme viene riconosciuto dall’amministratore come falso, il software impara che quello è un comportamento normale affinando le proprie capacità. Primary Response non agisce a livello di applicazione, ma a livello di kernel del sistema operativo, da dove identifica i comportamenti anomali agendo, appunto, come un sistema immunitario per computer.
Sana Security non è la sola start-up che segue questo approccio antivirus ‘intelligente’. Anche Okena (acquisita da Cisco), Bbx Technologies ed Entercept Security Technologies hanno sviluppato soluzioni per attaccare virus sconosciuti. Dopo un certo tempo, questi software diventano un’utile fonte di suggerimenti e persino di debugging. Infatti cominciano a segnalare comportamenti dovuti a carenze o difetti dell’applicazione che un controllo qualità non riuscirebbe a vedere, in quanto legati all’interazione tra applicazione e sistema operativo.

Content management omnicomprensivo
Kontiki (www.kontiki.com) divenne celebre per il suo progetto di creare una Napster ‘legale’, ovvero a pagamento, la cui tecnologia accoppiava un sistema per raccogliere i mini-pagamenti dei consumatori a un sistema per trasmettere flussi video. Oggi Kontiki si è inventata una nuova personalità come specialista di content delivery per utenti corporate, in particolare nel campo della distribuzione di flussi video su Internet. Il suo Dms (Delivery Management System) è uno dei più rispettati prodotti del settore. Gli investimenti di Adobe e Verisign, che hanno acquistato buona parte del capitale della società, rispecchiano il fatto che Kontiki stia realizzando una tecnologia di “digital rights management”, propedeutica a qualunque schema di distribuzione di materiale sotto copyright. In un certo senso, Kontiki ha ‘scoperto’ che nella società dell’informazione essere un comunicatore multimediale, un fornitore di contenuto e un gestore di ‘digital rights’ significa la stessa cosa. Anzi: che non si può essere l’una cosa senza le altre.
La stessa idea viene sviluppata da un’altra start-up, Jibe Networks (www.jibenetworks.com) di San Mateo, che offre un Communication Server. Rispetto a quello di Kontiki, il Dms di Jibe dovrebbe offrire piccole ma significative facilitazioni agli utenti (come la possibilità di visionare un piccolo riassunto mentre viene scaricato il grosso del film), ma soprattutto permette di raggiungere milioni di utenti. Il sistema è costruito su Api che si prestano a implementazioni custom ed è strutturato a Web services. La prima applicazione di questa tecnologia è stata nel campo della distribuzione del software e della sincronizzazione dei dati, che rimangono le principali sorgenti di fatturato per Jibe. L’applicazione dell’utente viene ‘rivestita’ per poter coesistere in rete con altre copie di sé stessa e con altre applicazioni, ciascuna delle quali necessita di dati sincronizzati e il software di ciascuna delle quali può essere aggiornato in qualsiasi momento con patch o nuove release.

Super Cpu per la sicurezza dei sistemi
La NetContinuum (www.netcontinuum.com) di Santa Clara, si propone di rivoluzionare il mercato di firewall e virtual private network con il suo NC-1000 Web Security Gateway, un dispositivo che si colloca fra firewall e Web server. L’aspetto innovativo di questa ‘appliance’ sta nel suo cuore: una Cpu special-purpose che consente di trattare un milione di sessioni simultaneamente al ritmo di 4.000 sessioni al secondo, il che le consente di gestire l’intero fenomeno della security (tutte le porte, tutti i protocolli e tutti gli strati). I suoi concorrenti sono Array Networks, Sanctum e Teros, dispositivi di rete dotati di un tale numero di funzionalità per cui, secondo NetContinuum, se i network administrator le abilitano tutte le prestazioni si deteriorano rapidamente. L’ NC 1000 invece ovvia al problema essendo progettato per gestire esattamente ciò che uno si aspetta nel 2004 da un dispositivo del genere: sicurezza per Lan wireless, anti-spam, crittografia SSL e così via, compresa la security per applicazioni Web e non solo per il livello 4 del modello Osi. La Cpu, che nella configurazione standard comprende ben 48 processori paralleli per oltre 64 milioni di transistor, usa chip separati per le varie incombenze (compresa la stessa amministrazione dell’appliance) e gli amministratori non vedono mai il flusso di traffico ma soltanto i parametri su cui possono agire. L’NC-1000 è programmato per bloccare tutte le forme più comuni di attacchi: Sql Slammer, WebDav, Code Red, cross-site scripting, buffer overflows, forceful browsing, e così via. Il modo in cui NC-1000 protegge direttamente l’applicazione da usi ‘malicious’ è un Dynamic Application Profiling, che di fatto specifica cosa va inteso come ‘maligno’ per una certa applicazione.


Tutti i messaggi sotto controllo
IMlogic, società fondata dall’ex direttore del gruppo di real-time collaboration in Microsoft, offre attraverso il suo software IM Manager 6.0, un controllo centralizzato di tutto il traffico di instant messaging (Aol, Lotus, Microsoft, Yahoo…) all’interno di un’organizzazione. Con IM Manager, la società ha inventato un nuovo tipo di applicazione, che sta ottenendo un fenomenale successo di mercato. Infatti, man mano che le soluzioni di instant messaging si propagano all’interno delle organizzazioni, cresce la domanda di poter in qualche modo controllare come e quanto vengono usate. Oggi non esiste di fatto alcun modo di verificare quali messaggi entrano ed escono. Nel migliore dei casi il network administrator può visionare un log-book sul server. Ma è probabile che le organizzazioni vorranno controllare in maniera più approfondita cosa i propri dipendenti comunicano in giro per il mondo. Con IM Manager l’amministratore può definire una serie di regole che costituiscono un ‘codice etico’di condotta da seguire all’interno dell’impresa. Il software, che può gestire fino a 30 mila clienti, non richiede installazione sui client, ma esegue il proprio compito sul server e si accontenta di un directory Ldap.

Piero Scaruffi

Articolo 1 di 5