Medische virusscanners en firewalls

wo 19 augustus 2020 - 15:54
Virus-Protectie
Preventie
Blog

Met de komst van SARS-CoV-2 (corona) staan virusdetectie en het ontwikkelen van vaccins weer volop in de belangstelling. Geen tijdelijke ontwikkelingen overigens, want als we straks van COVID-19 verlost zijn, dan zal het een kwestie van tijd voordat de volgende virale ziekteverwekker die onze gezondheid bedreigt. De geschiedenis leverde daarvoor al diverse keren het bewijs. Denk maar aan de Russische-, Spaanse, Hongkong / Aziatische-, Mexicaanse griep, SARS en MERS.

In het kader van de bestrijding, en het voorkomen, van virusinfecties werd al vaker de vergelijking gemaakt tussen virusscanners en firewalls van computers en ICT-systemen en het afweersysteem van het menselijk lichaam. De visie en achterliggende gedachte daarvan vertonen inderdaad overeenkomsten, zowel op medisch als e-health gebied. Het wordt zelfs in de praktijk al toegepast bij de opsporing van verborgen HIV-locaties. Kortom, genoeg redenen om hier eens wat dieper in te duiken.

Wat is een ICT-virus?

Een computervirus is een zelfstandig opererend programma of ‘script’ dat zijn ‘gastheer’ een ICT-systeem of computer, aanzet tot ongewenste acties. Denk bijvoorbeeld aan het uitvoeren van processen die het systeem schade toebrengen, het verspreiden van het virus binnen een netwerk of naar andere computers of het verkrijgen van toegang, en kopiëren of stelen van, data en andere gegevens.

ICT-virussen hebben een zogenoemde handtekening, een signature die gebaseerd is op de programmacode. In dat kader wordt ook gesproken over een digitale vingerafdruk of footprint - ook wel werkwijze genoemd - die een virus achterlaat en waarmee het geïdentificeerd kan worden. Omdat de meeste computervirussen niet helemaal nieuw zijn, maar een afgeleide, mutatie of doorontwikkeling van een bestaand virus, zijn ze vaak goed te herkennen.

Om herkenning te voorkomen kunnen virussen zich door middel van ‘encryption’ vermommen. Bij het infectieproces richten ze zich vaak op bepaalde aanhechtingspunten – kwetsbaarheden of beveiligingslekken – binnen bestaande besturingssystemen en gebruikerssoftware. Een vergelijkbare werkwijze treffen we ook aan bij humane en veterinaire pathogene virussen.

Wat doet een ICT-virusscanner?

Virusscanners voor computers en andere ICT-devices maken gebruik van drie verschillende technieken. De meest verfijnde variant is het herkennen van een virus op basis van de ‘bron-DNA’. Ofwel de gebruikte programmeercodes en routines. Feitelijk wordt de broncode van binnenkomende virussen vergeleken met een lijst of database van bestaande virus-broncodes. Deze techniek heeft veel weg van op de manier waarop het menselijk immuunsysteem het RNA en DNA van ziekteverwekkers herkent.

De tweede techniek is ruwer. Daarbij worden bestanden, variërend van tekst, data, audio, video tot programma’s, gecontroleerd op de mogelijkheid om bepaalde routines of acties te starten. Verdachte bestanden worden vervolgens in quarantaine geplaatst.
De tweede techniek is ruwer. Die controleert op soorten programmaatjes zoals tekstbestanden, datafiles, AV-clips en programmaatjes die bepaalde routines of acties kunnen openen. Deze worden tijdelijk in quarantaine gezet. Het is vervolgens aan de gebruiker om het bestand al dan niet te activeren of verwijderen. Medisch gezien is deze techniek een stuk moeilijker toe te passen, want wat is precies het onderscheid tussen biologisch gewenst en medisch ongewenst?

Bij de derde techniek speelt kunstmatige intelligentie een steeds belangrijkere rol. Daarbij wordt actief ingespeeld op gedrag van (toekomstige) nog onbekende virussen. Het herkennen van zogenoemd ‘virusgedrag’ wordt aangeleerd op basis van het reeds bekende gedrag, en gedragspatronen, van (vergelijkbare) virussen uit het verleden. Deze techniek is medisch gezien ook heel interessant voor het tijdig opsporen van nieuwe virussen. Om het virus dat de volgende pandemie zou kunnen veroorzaken te onderscheppen voordat het gevaarlijk wordt, bijvoorbeeld.

De firewall

Een firewall is niet hetzelfde als een virusscanner. Zoals de naam al aangeeft gaat het om een brandwerende muur. Een voorziening die de brand (het virus) buiten de muren (de computers) houdt. In de praktijk bepaalt en controleert de firewall wat wel, maar vooral wat niet, toegang tot het ICT-systeem krijgt.

Een firewall beschermt zowel individuele ICT-devices als complete netwerken. Medisch gezien is een firewall te vergelijkingen met de huid, slijmvliezen, de wand van het maagdarmkanaal en de bloed hersenbarrière.

Bij de ICT kan een firewall op meerdere niveaus werken. In een netwerk wordt op basis van protocollen bepaald welke datapakketten wel en welke niet het netwerk mogen betreden. Dit wordt ook wel packet-filtering via I/O-poorten genoemd. Trekken we de vergelijking met het menselijke darmkanaal, dan is het de selectie van welke stoffen wel en niet door de darmwand mogen treden.

Een andere firewall techniek is de applicatie laag. Deze methode kost meer tijd, maar de controle is ook nauwkeuriger. De identificatie vindt namelijk plaats per pakket, protocol en type poort. Een voorbeeld hiervan is een mailserver die spam buiten de deur houdt.

De zogenoemde statefull firewall houdt alle verbindingen en de afkomst van datapakketten bij en kan de I/O-poorten desgewenst tijdelijk openen of sluiten. Iets vergelijkbaars gebeurt ook in het menselijk lichaam. Denk aan de werking van hormonen, neurotransmitters en enzymen.

Als laatste kennen we ook nog de persoonlijke firewall (een computer), de netwerk firewall (meerder onderling verbonden ICT-devices) en de management firewall waarbij de controle en het onderhoud op afstand uitgevoerd wordt.

Medische heuristic of analyse

Het menselijk afweersysteem scant op pathogene virussen. Bekende virussen die gedetecteerd worden – virussen die in het ‘databasegeheugen’ van het afweersysteem staan – worden snel en op een passende manier bestreden door ons afweersysteem te activeren.

Wanneer het gedetecteerde virus op een eerdere variant lijkt, dan kost de activering van de afweer weliswaar meer tijd, maar deze zal uiteindelijk ook fluks georganiseerd ingezet kunnen worden. Een belangrijk verschil vormt het ‘direct afschieten’ van het virus voordat het kwaad kan aanrichten en pas ingrijpen wanneer het virus minder of meer actief is. Binnen de ICT leidt het bestrijden van virussen doorgaans tot ‘direct afschieten’ blokkeren of afvangen. Bij de menselijke afweer neemt dit doorgaans meer tijd in beslag.

Voorspellen en monitoren

Inmiddels worden er bij COVID-19 scantechnieken ingezet die monitoren op symptomen en contacten. Koorts, kortademigheid, hoesten, hartslag en loopneus en eventuele risicovolle contacten. Daarvoor wordt onder andere gebruik gemaakt van apps, wearables zoals de Ouara rings en zelfs Labs on a Chip (LOCs) die zowel genetisch virusmateriaal als andere subjectieve stoffen uit een druppel bloed of slijm kunnen halen.

Willen wij in de toekomst virusuitbraken zoals de coronapandemie tijdig kunnen bestrijden of zelfs voorkomen, dan zijn deze ontwikkelingen van groot belang. Ook AI speelt hierbij een voorname rol. Zowel bij de patroonherkenning als het in de gaten houden van de pathogene processen in het lichaam.

Een ander interessant aspect is de zogenaamde human firewall. In de ICT worden dergelijke firewalls gebruikt om het veilige gedrag van medewerkers positief te beïnvloeden (groepscommitment) zodat zij hackers, fishers, mal- en ramsomware buiten de deur houden. Preventieve gedragsbeïnvloeding kan ook zijn waarde bewijzen in de e-health. Om het gedrag van mensen te sturen zodat ze risicovolle handelingen en contacten vermijden en meer opmerkzaamheid betrachten bij het herkennen van symptomen.

Andere e-health-brandmuren

Deels al realiteit en deels nog toekomstmuziek is de biomedische strategie van zogenoemde ‘in body human firewalls’. Bekend zijn de medicinale beïnvloeding of het blokkeren van receptoren en poorten. Hiermee wordt bepaald wat er wel- en wat niet aanhecht of door de biopoort gaat. Ook het hinderen van het gebruik van enzymen (ACE bij COVID-19) door virussen valt hieronder. Dat pakt regelmatig ruw uit. Helemaal dicht en op slot. De vraag is in hoeverre AI hierbij een rol kan gaan spelen. Wellicht kan deze aanpak dan beter, en naar wens, gereguleerd worden?

Nanotechnologie schept eveneens perspectieven. Binnen de ICT heeft nanotechnologie haar intrede al gedaan. Bij e-health ook; daar wordt nanotechnologie ingezet bij slimme ventilatie om pathogenen ‘af te schieten’. Maar het gaat nog veel verder. Momenteel wordt al gewerkt aan de ontwikkeling van slimme minirobotjes die in het virus in het lichaam kunnen opsporen. Die zouden een natuurlijke firewall van poortwachters kunnen vormen.

Hacking van e-health-devices

Uiteraard is het raadzaam om de in dit artikel besproken ICT-virusscanners en -firewalls ook in te zetten om het ongewenst overnemen van, of inbreken op, medische apparatuur te voorkomen. Het kapen van insulinepompen of pacemakers, het knoeien of aftappen van laboratoriumresultaten of het plaatsen van ransomware zijn zomaar een paar voorbeelden van situaties die te allen tijde voorkomen moeten worden.

Een voorbeeld waarmee dit voorkomen kan worden is de multilayer anomaly protection. White-listing is een andere optie, maar alleen als veilig gecertificeerde apparaten en software toegepast worden.

De bestrijding en het voorkomen van virussen en het gebruik van brandmuren in de ICT, het menselijk lichaam en medische apparatuur vertonen duidelijke overeenkomsten. Daarbij maakt het dus niet uit of het virus afkomstig is uit de natuur of van malafide hackers. Maatregelen ter preventie, opsporing en voorspelling zijn simpelweg onmisbaar!