Twee securityontwikkelaars aan de universiteit van Tel Aviv hebben een wijziging voor de Linux-kernel ontwikkeld waarmee dat besturingssysteem het gedrag van serverapplicaties keurt. Indien een applicatie zich verdacht gedraagt, wordt deze automatisch stopgezet.
Een securityonderzoeker aan de universiteit van Tel Aviv heeft onder begeleiding van de Israelische professor Avishai Wool een monitoring-programma ontwikkeld voor Linux. Het is een aanpassing in de kernel van het besturingssysteem wat daardoor het gedrag van applicaties in de gaten kan houden. Dit moet beveiliging verbeteren door buffer overflows en code injection-aanvallen te onderscheppen. Deze aanpak heeft wel het risico van valse negatieven, dus onterechte identificatie van malware.
Het programma heet Korset en is in wezen een model dat voorspelt hoe serverapplicaties zich dienen te gedragen. Afwijkingen van die norm zouden neerkomen op handelingen van kwaadaardige code en die software wordt dan automatisch stopgezet. Korset maakt vooraf een overzicht van de te beschermen applicatie waarin het gedrag daarvan wordt vastgelegd. De ondersteuning voor applicaties is nu echter nog vrij beperkt. Een vroege proefversie van Korset is gratis beschikbaar onder de opensourcelicentie GPLv3.
