Tal y como se conoce popularmente, la protección contra el malware se basa, por lo general, en la detección de sus firmas. Sin embargo, identificar los softwares maliciosos es sólo una de las tantas tareas que los antivirus realizan. De hecho, algunos expertos aseguran que la detección de firmas –es decir, la creación de listas de rechazados- es la parte menos importante del trabajo de los antivirus. ¿En qué consiste la otra gran tarea?: en crear y mantener actualizadas las listas de admitidos. Es decir, mantener en vigencia una pre-aprobación de softwares inofensivos.
¿Qué son las listas de rechazados?
Permítanme explicarles este concepto a través de la tecnología de Kaspersky. Cuando un usuario instala un producto de Kaspersky Lab, le ofrecemos la posibilidad de unirse a la Red de Seguridad de Kaspersky (KSN, por sus siglas en inglés). Si la persona acepta esta petición, pasa a formar parte de una enorme infraestructura que se dedica a procesar información de ciberseguridad. ¿Cómo funciona? Por ejemplo, si una persona de India es infectada con un nuevo tipo de malware, Kaspersky Lab crea de forma automática una firma para detectar ese malware y la agrega a la base de datos de KSN, a fin de que ningún otro cliente de Kaspersky en el mundo pueda ser infectado por ese malware.
En pocas palabras, las listas de rechazados crean un registro de programas nocivos para tu PC con el objetivo de mantenerlos alejados de tu computadora. Crear listas negras es una excelente medida cuando éstas tienen un 99.9% de efectividad y sólo aparecen 10 mil nuevas familias de malware al año. Sin embargo, no es suficiente cuando, aun teniendo un 99.9% de efectividad, las nuevas familias de malware que emergen anualmente ascienden a 10 millones.
¿Qué son las listas de admitidos?
Nuevamente, apelaré a la tecnología de Kaspersky para explicarte cómo funcionan las listas de admitidos. En este caso, se trata de un proceso llamado “denegación por defecto”. Este principio plantea que todos los productos de seguridad deberían bloquear “por defecto” todas las aplicaciones y softwares, a menos que éstos estén permitidos de forma explícita. Es decir, que exista una “lista de aplicaciones pre-aprobadas” y, por lo tanto, seguras para su uso.
Pero existe un problema. Cuando la denegación por defecto se utiliza en ambientes corporativos, una autoridad central decide cuáles aplicaciones deben habilitarse y cuáles no. Es más, en los ambientes empresariales la lista de apps aprobadas suele mantenerse, en la mayoría de los casos, de manera estática a través del tiempo. Sin embargo, a nivel de los consumidores, es mucho más difícil saber exactamente qué aplicaciones necesita un usuario o desea en cierto momento determinado.
Denegación por defecto, vía Aplicaciones Confiables
Por supuesto, nuestros amigos investigadores de Kaspersky Lab se las arreglaron para encontrar una forma de aplicar los principios de denegación por defecto al publico masivo, utilizando la tecnología de “Aplicaciones Confiables”. Las aplicaciones confiables son listas de adimitidos que se actualizan de forma dinámica, utilizando en un criterio de “confiabilidad” basado en distintas datos surgidos de KSN.
En este sentido, nuestra herramienta dinámica de creación de listas de admitidos es una base de conocimientos de aplicaciones que se actualiza de forma constante. Nuestra base de datos contiene información de más de mil millones de archivos únicos y cubre la gran mayoría de las aplicaciones populares, tales como paquetes de office, navegadores web, visualizadores de imágenes y básicamente cualquier cosa que puedas imaginarte.
#Whitelisting and smooth workflow: do they contradict each other? https://t.co/CzVUzrWSFf
— Eugene Kaspersky (@e_kaspersky) octubre 10, 2014
Así, utilizando las entradas de casi 450 partners -en su mayoría organizaciones desarrolladoras de software- la base de datos reduce la posibilidad de detectar falsos positivos, dado que actualiza de forma regular su “conocimiento” sobre los contenidos implementados por las compañías en sus aplicaciones.
La cadena de confianza
Ahora bien, ¿Qué ocurre con las aplicaciones desconocidas? Algunas compañías generan softwares legítimos que no son reconocidos por nuestras listas de adimitidos. Por ejemplo, para descargar una actualización de un programa, es posible la ejecución de un módulo especializado que permite conectarnos al servidor del proveedor del software. El módulo de actualización es, en efecto, una sub-aplicación creada por el programa original y es posible que no figure en las listas de adimitidos. Sin embargo, dado que la aplicación ha sido creada y lanzada por un programa confiable, ésta se considerará segura. Este mecanismo de seguridad se lo conoce como “cadena de confianza”
Cuando una nueva actualización es descargada de forma automática y difiere de su versión anterior y la lista de adimitidos no la “reconoce”, puede ser aprobada a través de medios secundarios, como por ejemplo la verificación de la firma o certificado digital. Una tercera prueba de fallos se activa si una aplicación cambia de forma inesperada y carece de firma. En este caso, la cadena de confianza puede reconocer el dominio de descarga dentro de los dominios confiables, los cuales por lo general pertenecen a proveedores de software conocidos. Si un dominio es confiable, se asume que, por añadidura, la nueva aplicación también lo será. Ahora bien, si un dominio es utilizado con fines de distribución de malware, éste será erradicado de la cadena de confianza.
Lo último, pero no menos importante
Como bien debes saber, los atacantes tienen conocimiento de casi todas las acciones de protección que desarrollamos. En parte porque suelen buscar vulnerabilidades en programas populares y explotarlos para evitar las protecciones que describimos anteriormente, a partir de acciones maliciosas originadas por programas confiables.
Con el objetivo de combatir esto, nuestros especialistas han desarrollado un sistema conocido como el “Corredor de Seguridad” que se complementa con nuestras listas de adimitidos y cumple la función de garantizar que los programas y aplicaciones ejecuten sólo las acciones que deben.
“La lógica de un navegador es mostrar páginas web y descargar archivos” explica Andrey Ladikov, del equipo de investigación e infraestructura de la nube de Kaspersly Lab. “Acciones como cambiar los archivos de sistema o sectores del disco no son tareas que deba ejecutar un navegador. Un editor de texto está diseñado para abrir y guardar documentos de textos en un disco, pero no para guardar nuevas aplicaciones y ejecutarlas” afirmó el experto. Por esta razón, si tu programa favorito de edición de imágenes empieza a hacer uso del micrófono de su computadora, la aplicación quedará marcada.
¿Cuáles computadoras son robustas?
La tecnología de creación de listas dinámicas de adimitidos no está disponible para todo el mundo. Solo los usuarios de Kaspersky Internet Security, Kaspersky Internet Security Multi-Device y Kaspersky Pure cuentan con este nivel de protección.
Información adicional
Nuestros investigadores han escrito no solo uno, ni dos, sino tres artículos más sobre listas de adimitidos. Visita estos links en caso que quieras conocer más al respecto.
Traducido por: Guillermo Vidal Quinteiro y Maximiliano de Benedetto