Politecnico di Torino - Corso Duca degli Abruzzi, 24 - 10129 Torino, ITALY

+39 011 090 6100 info@tech-share.it

ShieldFS: Filesystem resistente ai ransomware

AntivirusCode-injectionInformatica TsdMonitoraggio filesystemRansomwareSicurezza informatica

Introduzione

Lo scopo dell’invenzione è proteggere file da attacchi di tipo ransomware. Tali attacchi sono estremamente popolari e causano un guadagno illecito nell’ordine delle decine di milioni di dollari. Agiscono tramite opportuni virus che eseguono sul computer della vittima parti di codice senza che l’utente se ne accorga. I virus cifrano rapidamente tutti i file bersaglio (documenti e file multimediali), rendendoli di fatto inaccessibili all’utente. Le vittime che soccombono allo schema di estorsione (il che avviene nel 40-50% dei casi) pagheranno il riscatto per avere accesso alla chiave di decifratura.

Caratteristiche Tecniche

L’idea proposta consiste nell’aggiungere una funzionalità al sistema operativo, rendendolo “ransomware aware.” Si opera un monitoraggio continuo dell’attività del filesystem e, in parallelo, ogni operazione di modifica di file è eseguita su una copia “ombra,” anziché sul file originale, il quale invece sarà preservato intatto. Non appena il processo che ha modificato quel file è stato monitorato e si conclude che è benigno, tale copia ombra sarà cancellata. Altrimenti, se maligno, tale processo sarà terminato e il file originale prenderà posto della copia. Il tutto in modo trasparente all’utente. L’originalità dell’ invenzione è nel modo in cui si decide se un processo è benigno: ogni processo è monitorato da due punti di vista: filesystem e memoria. L’approccio è stato testato su 305 campioni di 11 famiglie di ransomware con il 100% di files protetti, e una detection rate del 97.70%

Possibili Applicazioni

  • Nel breve termine, l’invenzione può essere implementata in un software di protezione alla stregua di un antivirus;
  • Nel lungo termine, l’invenzione può essere incorporata in un sistema operativo, assicurandone protezione trasparente da attacchi informatici basati sulla cifratura massiva di file.

Vantaggi

  • Supera i problemi delle misure di sicurezza di tipo preventivo e reattivo (antivirus classici, sistemi di backup);
  • Questa è la prima misurazione dell’attività di un filesystem in condizioni reali su un dataset di grandi dimensioni;
  • Altri sistemi osservano il filesystem ma nessuno combina rilevazione e recovery;
  • Efficace sul code-injection.