Promovendus pakt zero-day exploits aan

Zo'n beoordeling kan echter op 2 manieren de mist in gaan: een geraffineerde kwaadaardigheid kan onopgemerkt blijven en vreemd maar onschuldig gedrag kan ten onrechte als malicieus worden aangemerkt.

Portokalidis ontwikkelde een 'dynamische besmettingsanalyse' die wél zekerheid oplevert over wat er in de honeypot gaande is. Zijn 'DTA'-methode berust op het systematisch bijhouden welke bytes afkomstig zijn van het Internet en waar in de honeypot deze terechtkomen. Zodra een als 'van-buiten-afkomstig' gelabelde byte op een ongeoorloofde plek in het geheugen belandt, wordt alarm geslagen. Dat zal bijvoorbeeld het geval zijn als een 'besmette' byte binnen de browser rechtstreeks ten uitvoer wordt gebracht. Of als de programcounter wordt geladen met een gelabelde waarde. Dat zijn gebeurtenissen die met zekerheid op een aanval duiden.

Verder ontwikkelde de promovendus een praktische oplossing waarbij gebruikers eenvoudig en ad hoc kunnen wisselen tussen hun normale pc en een tijdelijke virtuele pc daarbinnen. Bij verdachte maar niettemin potentieel interessante mails of downloads kan de gebruiker zijn riskante handelingen - van het openen of ten uitvoer brengen - verrichten in de virtuele kopie van zijn normale machine. In de Virtuele machine draait Portokalidis DTA-programma mee. Gebeurt er iets onoorbaars, dan is het malwarebestand gesignaleerd, zonder dat schade aan zijn echte systeem optreedt. Blijkt er niets mis met het mailtje, dat wordt teruggeschakeld naar het werkelijke systeem en wijkt de virtuele versie van zijn systeem naar de achtergrond.

Het heen en weer schakelen tussen echt en virtueel is noodzakelijk omdat een 'virtuele pc in een echte pc' traag is. Om die reden ontwikkelde Portokalidis - naast de switch-mogelijkheid - ook nog een programma waarmee de pc, als deze tijdelijk niet in gebruik is, uit zichzelf omschakelt naar een virtuele modus, waarbij het DTA-programma naar internetaanvallen speurt.

Omdat smartphones eveneens malware-aanvallen kunnen krijgen, zocht Portokalidis ook naar een oplossing om deze systemen tegen zero-day exploits te beschermen. Virtualisering binnen het systeem zelf is bij deze kleine en minder krachtige 'computers' geen optie; ze zouden er de facto door stilvallen. De oplossing die Portokalidis voorstelt, bestaat uit een virtuele kopie van de smartphone op een krachtige server elders. Alles wat op de echte telefoon gebeurt, wordt doorgestuurd naar de replica die vervolgens precies hetzelfde doet, met als enig verschil dat het DTA-programma de gebeurtenissen op de virtuele replica volgt.

Voor het virtualiseren van de te beveiligen systemen maakte Portokalidis onder meer gebruik van de opensource Qemu-systeememulator. Zijn promotie staat gepland voor 25 februari.