HP ontdooit viruswurger

Plaagremmende software komt toch op de markt

HP haalt zijn viruswurger uit de ijskast en brengt het begin komend jaar uit. De software, ontwikkeld in de HP Labs te Bristol (Groot-Brittannië), beperkt de spreiding van virussen en wormen.

HP brengt de viruswurger van zijn onderzoekers Matt Williamson (links) en Jonathan Griffin toch op de markt.

De 'virus throttling'-applicatie houdt de netwerkconnecties in de gaten van de computers waarop het draait. De software let daarbij zowel op het aantal verbindingen en pogingen als op de doeladressen en het bereik daarvan. Hierbij hanteert het waarden en instellingen die passen bij bepaalde rollen van computers, zoals mail- of databankserver.
"De Nimda-worm probeerde contact te krijgen met wel vierhonderd nieuwe computers per seconde, terwijl een computer bij normaal functioneren slechts enkele verbindingen per seconde legt. Die verbindingen betreffen bovendien vaak computers waar recent nog communicatie mee is geweest, bijvoorbeeld een mailserver", legde HP-onderzoeker Matt Williamson in mei vorig jaar al uit aan Computable.

Afknijpen

Indien bepaalde ingestelde grenzen worden overschreden, knijpt de software de verbindingen geleidelijk af. Dit betreft niet de netwerkverbinding zelf, maar de verdachte pakketten in kwestie. De pakketten gaan in eerste instantie niet verloren, maar worden vertraagd. Wanneer het verdachte gedrag ineens ophoudt, kan het dus een uitzondering en niet een concreet gevaar zijn, waarna de opgehouden pakketten alsnog worden doorgelaten.
De software herkent virussen en wormen niet, maar reageert op het gedrag van computers. De applicatie dient daarmee twee doelen: de verspreiding van plagen vertragen en systeembeheerders tijd geven om op te ruimen en gaten te dichten. De viruswurger is doelbewust niet gekoppeld aan antivirussoftware, aldus onderzoeker Williamson en zijn collega Jonathan Griffin. HP heeft wel een relatie met antivirusleverancier Symantec, die het nu wil uitbreiden. Dit betreft niet de viruswurger, maar de meelevering van Symantecs software op HP's pc's.

IJskast

Eind augustus dit jaar werd bekend dat HP zijn viruswurger, die het in mei vorig jaar al aan de pers toonde, in de ijskast schoof. Dit nadat HP de software begin 2004 bredere bekendheid gaf op de RSA-beveiligingsbijeenkomst in Amsterdam. De opgegeven reden was dat het de computerproducent aan middelen ontbrak om de software te implementeren op Windows. Dit zou komen doordat HP geen toegang heeft tot de broncode van Microsofts marktdominante - en veelgeplaagde - besturingssysteem.
Deze horde is nu genomen, want HP brengt de software begin komend jaar uit voor zowel zijn Procurve-netwerkapparatuur als zijn Proliant-servers, die Windows 2000 of 2003 draaien. De software doorloopt nu compatibiliteitstesten bij HP. Hetzelfde geldt voor een desktopuitvoering, die later in 2005 moet uitkomen. De HP Labs te Bristol hadden in mei vorig jaar al uitvoeringen draaien op Unix-variant HP-UX en Linux. Het is vooralsnog onbekend of en zo ja, wanneer die uitkomen.< BR>