Intel werpt dam op tegen 'zero-day'-aanvallen

Wetenschappers van Intel hebben een aantal baanbrekende ideeën ontvouwd over de bestrijding van kwaadaardige software, zei Rattner in een interview met de Amerikaanse IT-nieuwssite Computerworld. Hij verwacht dat Intel een ‘grote sprong voorwaarts’ kan maken in de mogelijkheden van apparaten om zichzelf tegen malware te verdedigen, of het nu gaat om pc’s, tablets, telefoons of tv-toestellen met een internetaansluiting.

Bij zogeheten zero-day-aanvallen maken kwaadwillenden gebruik van zwakke plekken in software die al bekend zijn maar waarvoor nog geen remedie bestaat. De teller gaat lopen vanaf het moment dat de kwetsbaarheid bekend is tot het moment dat een security patch beschikbaar is, vandaar de term ‘dag nul’. In de tussentijd hebben eventuele aanvallers vrij spel. Intel denkt dat risico te kunnen afwenden.

Patroonherkenning is niet afdoende
IT-beveiligingsproducten vertrouwen op technieken als patroon- en gedragsherkenning om nog onbekende malware te detecteren. Volgens Rattner is de vinding van Intel niet gebaseerd op elektronische handtekeningen (signatures), zoals veel beveiligingsproducten. Zero-day-aanvallen hebben juist grote kans van slagen doordat ze niet aan bekende patronen voldoen.

Aanpak van Intel berust op hardware
Intel kiest voor een radicaal andere aanpak, aldus Rattner. De beoogde techniek is gebaseerd op hardware. Volgens de CTO van Intel is de vinding in staat een zero-day-aanval in de kiem te smoren, zelfs als de aanvalsmethode nog nooit eerder is opgedoken. Hij hoopt dat Intel de nieuwe technologie nog dit jaar kan introduceren.

Rattner zei er niet bij of de vinding uitsluitend in hardware wordt ingebakken of dat er ook een softwarecomponent bij hoort. Het integreren van beveiligingsfuncties in hardware heeft in elk geval als nadeel dat het minder flexibel is dan software, die snel kan worden aangepast aan de laatste stand der techniek. Een tussenoplossing zou kunnen zijn om gebruik te maken van ‘firmware’ in een flashchip die met updates kan worden bijgewerkt.

Relatie met overname van McAfee blijft vaag
Onduidelijk is verder of Intel voor zijn vinding gebruik maakt van kennis die het in huis haalt door de overname van securityspecilaist McAfee. Volgens Rattner werkte Intel al aan de nieuwe verdedigingstechniek voordat de chipfabrikant een overnamebod deed op McAfee. Maar dat sluit niet uit dat McAfee op een of andere manier betrokken is bij de vinding, zei hij. De Europese Commissie ging woensdag akkoord met deze acquisitie, mits Intel in zijn chips geen beveiligingsfuncties inbouwt die alleen overweg kunnen met de software van McAfee.