Kaspersky Lab otwiera narzędzie do walki z malware: w branży czas na współpracę?

Strona główna Aktualności
image

O autorze

Branża bezpieczeństwa do dzisiaj nie uwierzyła w model Open Source – kod oprogramowania antywirusowego jest tajemnicą producenta, zmagającego się przecież nie tylko z malware, ale też i z całą rzeszą konkurentów. Współpraca jest tu bardziej symboliczna, każda pozyskana przewaga konkurencyjna jest pilnie strzeżona. Tym większe uznanie należy się Kaspersky Lab: rosyjska firma zdecydowała się otworzyć i udostępnić swoje autorskie narzędzie do polowania na złośliwe oprogramowanie.

Yara to specjalistyczne narzędzie do tworzenia opisów rodzin złośliwego oprogramowania na bazie określonych wzorców, wykorzystujących wyrażenia regularne i ciągi tekstowe. W ten sposób szybko można zaklasyfikować napotkaną próbkę. Takich reguł są dziś dziesiątki tysięcy, a samo narzędzie używane jest zarówno przez niezależnych badaczy jak i dziesiątki firm z branży bezpieczeństwa. Jest to możliwe dzięki niezwykle liberanej licencji BSD-3-Clause.

Na bazie Yary powstało wiele autorskich, specjalistycznych rozwiązań, które już takie otwarte nie były. Wśród nich znalazła się GReAT KLara z Kaspersky Lab, napisany w Pythonie rozproszony system do szybkiego przetwarzania plików ze złośliwym oprogramowaniem. Wykorzystanie do tego Yary zajmuje po prostu bardzo dużo czasu: sprawdzenie 10 TB plików to na specjalistycznym sprzęcie pół godziny roboty.

Klara wykorzystuje możliwości Yary, rozkładając pracę – skanowanie plików według zadanych reguł – na poszczególne serwery robocze. Każdy serwer roboczy łączy się z serwerem-dyspozytorem, by odpytać go o dostępność nowej pracy. Jeśli jest ona dostępna, sprawdza, czy wymagane repozytorium dostępne jest w jego systemie plików, a jeśli jest, uruchamia skanowanie. W ten sposób szybko można sprawdzić duże (ponad terabajtowe) kolekcje próbek szkodników w rozsądnym czasie. Wszystko oczywiście sterowane jest przez wygodny w użyciu interfejs webowy.

Ciekawostką może być to, że jedynym systemem operacyjnym oficjalnie wspieranym przez narzędzie Kasperskiego jest Ubuntu 16.04. Można co prawda zainstalować Klarę na Windowsie, ale działania w takiej konfiguracji nikt gwarantować nie chce. Choćby z tego powodu widać, jak ważne jest dla Microsoftu wbudowanie w Windowsa linuksowego podsystemu – specjalistyczne, profesjonalne narzędzia z wielu dziedzin coraz częściej wspierane są oficjalnie jedynie na linuksowych platformach.

Zainteresowani sprawdzeniem Klary znajdą jej repozytorium na GitHubie. Kaspersky Lab udostępnił kod na licencji Creative Commons (CC BY-SA 3.0 Unported).

© dobreprogramy