Biologisch afweersysteem tegen kunstmatig leven

Een beter begip van het biologische afweersysteem helpt bij het bestrijden van onwenste indringers in de computer.

Wat het internationale vliegverkeer was voor sars, is internet voor een computervirus: besmettingen grijpen tegenwoordig zo snel om zich heen dat zelfs wanneer een antistof snel wordt gevonden, er al enorme schade kan zijn aangericht. Voor het beschermen van grootschalige netwerken van bedrijven en organisaties is een gewone virusscanner dan ook lang niet meer voldoende.

Al in het begin van de jaren negentig, toen computervirussen zich nog maar net begonnen te ontwikkelen, voorzagen Jeffrey Kephart en Steve White, verbonden aan het Thomas J. Watson onderzoekscentrum van IBM in Yorktown Heights, dat de virusdreiging op een heel andere manier aangepakt zou moeten worden. De inspiratie voor hun digitale immuunsysteem deden ze op in de natuur: net als levende wezens een afweersysteem hebben dat vreemde indringers bacteriën, virussen opspoort en uitschakelt, zou een computer over een verzameling `digitale witte bloedlichaampjes' moeten kunnen beschikken, die in het geheugen van de computer leven en daar continu een oogje in het zeil houden en in actie komen als dat nodig is.

Een computervirus is immers niets anders dan een kunstmatige levensvorm. Net als zijn biologische tegenhanger heeft dit uiterst simpele stukje programmacode de machinerie van zijn gastheer nodig om zichzelf te vermenigvuldigen. Geen wonder dus dat Kephart en White eerst probeerden een beter begrip te krijgen van biologische virussen. Ze gebruikten technieken uit de epidemiologie om te analyseren hoe een virus zich verspreidt en voortplant en onderzochten vooral hoe ons immuunsysteem op dit soort indringers reageert. In de eerste plaats ruimt dat alles op wat het niet als `eigen' herkent.

Dat is echter niet een echt goede strategie om in een computergeheugen toe te passen. Elke computergebruiker zal immers van tijd tot tijd nieuwe software installeren of oude programma's updaten, en het is natuurlijk niet de bedoeling dat die direct het slachtoffer worden. Biologische afweersystemen kennen echter ook meer specifieke reacties. Als een witte bloedcel een vreemd organisme aantreft gaat het antilichamen aanmaken, die in staat zijn de indringer te herkennen en onschadelijk te maken. Voor die herkenning heeft het aan een klein, kenmerkend stukje code van de indringer genoeg, een stukje van een eiwit aan de buitenkant van de virusmantel volstaat. Daarnaast blijven er, ook als alle indringers uitgeschakeld zijn, antilichamen achter om ook in de toekomst bij een nieuwe aanval paraat te zijn.

Ook de standaard antivirusprogramma's zoeken elk stukje programmacode in het computergeheugen af op kenmerken van bekende virussen: kleine stukjes programma die alleen in een bepaald virus of familie van virussen voorkomen. Maar voor elk nieuw virus moet die kenmerkende `handtekening' dan wel eerst worden gevonden. Dat maakt het systeem kwetsbaar. Nieuwe virussen verspreiden zich snel en het zijn er zo veel dat de tijd die computervirologen hebben om te reageren almaar korter wordt, zodat de kans toeneemt dat een virus zijn schade aanricht. Het digitale immuunsysteem dat Kephart en White ontwikkelden is echter niet alleen sneller dan een virusscanner, maar beschermt ook alle computers in een netwerk.

IBM's digitale immuunsysteem werd gepresenteerd in 1997, tijdens een internationale conferentie van computervirologen in San Francisco. Kephart voerde een met een onbekend virus geïnfecteerde pc ten tonele en verbond die met het AntiVirus-systeem in zijn laboratorium. De scanner herkende het virus inderdaad niet, maar het digitale immuunsysteem ontdekte toch dat er iets aan de hand was: een integrity checker, een programma dat alle programma's afgaat en deze vergelijkt met hoe ze er de laatste keer uitzagen, sloeg alarm. Dat is het sein om onmiddellijk een kopie te maken van het programma waar het virus zich hoogstwaarschijnlijk in verborgen houdt en die over het netwerk naar het analyseprogramma te sturen. Dat lokt het virus uit zijn tent: het creëert een `virtuele computer' in zijn geheugen waarin het virus niet alleen veilig opgesloten zit, maar zelfs zonder gevaar kan worden bestudeerd. Deze virtuele computer laat het virus bewust een aantal speciale programma's infecteren, die zijn ontworpen om het virus te ontmaskeren. Door deze lokprogramma's zowel voor als na de besmetting te analyseren, te kopiëren, weg te schrijven en wat al niet meer, ontstaat er langzaam een beeld van de manier waarop het virus werkt, hoe het zich vasthecht in het geheugen en zich daarin verstopt. Die informatie komt later goed van pas om geïnfecteerde programma's in de besmette computer te schonen.

Een volgende stap is de automatische detectie van de handtekening van het virus. Daartoe vergelijkt het immuunsysteem de code van het virus met tienduizenden regels van legale programma's om te zien of er kleine, unieke stukjes code te vinden zijn, die juist niet vaak voorkomen in legale programma's. Kephart heeft daarvoor een statistische analyse gedaan van talloze bekende computerprogramma's en op grond daarvan bepaald hoe vaak bepaalde bit-sequenties daarin voorkomen. Een afwijkend patroon van maar drie tot vijf bytes kan al voldoende zijn om een virus te ontmaskeren. Als ook deze vingerafdruk is bepaald, wordt ten slotte alle informatie over het netwerk teruggestuurd naar de geïnfecteerde computer: niet alleen alles wat nodig is om alle kopieën van het virus te kunnen opsporen, maar ook de instructies om beschadigde bestanden te herstellen. Dat alles neemt niet meer dan drie minuten in beslag. Tegelijkertijd ontvangen alle andere computers in het netwerk een update, zodat ze opgewassen zijn tegen een toekomstige infectie.

Inmiddels maakt IBM's Digital Immune System al weer een paar jaar deel uit van een breed pakket aan virussoftware dat Symantec aanbiedt aan bedrijven met een eigen computernetwerk. Het is opgenomen in het DeepSight Threat Management System dat erop gericht is een virusuitbraak zo snel mogelijk in de kiem te sporen. Zo'n 19.000 organisaties in meer dan 180 landen leveren informatie over verdachte gebeurtenissen op hun netwerk die volautomatisch en zonder ingrijpen van buiten door het immuunsysteem worden geanalyseerd waarna er zo nodig actie wordt ondernomen: het begin van een mondiaal immuunsysteem dat internet wereldwijd moet beschermen tegen ongewenste indringers.

Zie ook de webpagina van het DeepSight Threat Management System: http://tms.

securityfocus.com (klik rechtsboven op `About Deep Sight').

    • Rob van den Berg