Система RETRO позволит ИТ-администраторам получать информацию о подозрительных действиях — попытках подключения по протоколу TCP или запросах HTTP, исходящих из подозрительного источника. RETRO восстанавливает файловую систему компьютера, выборочно отменяя лишь те изменения, которые были внесены злоумышленником. Таким образом, файловая система переводится в новое состояние, блокируя все неправомерные коррективы и сохраняя все легитимные манипуляции. "Избирательно отменяя все деструктивные изменения с сохранением пользовательских данных, RETRO упрощает процедуру восстановления и повышает ее эффективность", — говорится в докладе, который был представлен исследователями на недавней конференции USENIX Symposium on Operating Systems Design and Implementation.
"Даже если пользователь ежедневно осуществляет резервное копирование, при восстановлении системы с применением традиционных методик он переведет ее в состояние, соответствующее последней резервной копии, а все изменения, сделанные после этого, будут утеряны, — отмечается в докладе. - А поскольку злоумышленник предпринимает все необходимые меры для сокрытия следов своего вмешательства, взлом может быть обнаружен спустя несколько дней или даже недель после его совершения. В результате пользователь потеряет все, что было сделано за указанный период".
Система RETRO восстанавливает состояние настольных компьютеров и серверов после несанкционированного вмешательства, отменяя изменения, внесенные хакером и сохраняя результаты действий легальных пользователей. В процессе нормального функционирования RETRO сохраняет всю историю выполненных операций, составляя подробную схему взаимодействия различных компонентов системы.
В процессе восстановления, обращаясь к журналу выполненных операций, RETRO отменяет все нежелательные действия, а также их косвенное воздействие, а затем повторно выполняет легитимные операции, которые были затронуты внесенными изменениями. Для минимизации числа повторно выполняемых действий RETRO отбирает лишь те операции, на которых отразилось вмешательство злоумышленников.
"Мы исходим из предположения, что ядро системы действиями атакующего не затронуто, — пояснили исследователи. — К сожалению, в ядре Linux периодически обнаруживаются уязвимые места, в связи с чем условия, из которых мы исходим, теоретически могут и не выполняться. Один из путей решения этой проблемы заключается в использовании технологии виртуальных машин, хотя выделить объекты ядра после несанкционированного вмешательства бывает весьма затруднительно. В дальнейшем мы планируем найти способы уменьшить влияние подобных факторов".