Buffer Overflow Attacks. Uno de los ataques más comunes que no conocemos.

Cuando se habla de malware pensamos en infecciones, en perder archivos, perder conexión a internet o perder dinero, pero no se habla de la manera en la que el malware logra sus objetivos. Las infecciones de malware que se dan a diario no necesariamente se debe a que las computadoras no tienen software de seguridad, sino que los usuarios no están educados en cuanto a los peligros que existen y como se pueden prevenir. Otra de las razones de porque las computadoras se infectan tanto, es porque no contamos con software capacitado para protegernos de ataques comunes como lo es el Buffer Overflow Attack. Traducir éste término al español es un poco difícil, así que explicaré lo que es, cómo surgen y cómo malware utiliza esta vulnerabilidad para atacar a usuarios y sus computadoras.

¿Qué es un buffer?

Al momento de ejecutar un programa, el mismo transfiere información del disco duro de tu computadora a la memoria RAM, esto para que su ejecución y desempeño sea el mejor. Ya estando en la memoria RAM, algunos cómputos, comandos y datos que el programa almacena los almacena allí mismo. Para almacenar estos datos, los programas crean buffers o pequeños espacios en memoria limitados por bytes.

¿Qué es un buffer overflow?

Un buffer overflow ocurre cuando un programa intenta escribir a memoria más información de la que cabe en un buffer que haya creado y sucede por una falla en el código del programa o mejor conocido como un bug.

¿Cómo un buffer overflow representa una amenaza?

Los autores de malware dedican la mayor parte de su tiempo a buscar este tipo de fallas en los programas para intentar explotarlos e inyectar código malicioso a programas legítimos. Por ejemplo, si eres usuario de Windows debes conocer lo que son los Windows updates. Estas actualizaciones son parchos de seguridad o security patches y actualizaciones que ayudan a corregir errores en el sistema operativo para evitar que hackers o malware se aprovechen de vulnerabilidades causadas por estos bugs.

Pero Windows no es el único que sufre de estas vulnerabilidades. Programas como Internet Explorer, Adobe Acrobat Reader, Firefox, Adobe flash y otros son atacados continuamente por malware o hackers que intentan acceder a los datos que exceden el tamaño de un buffer para cambiarlos por código malicioso que se ejecutaría al momento que el programa acceda ese buffer en memoria. Cuando el programa atacado accede el buffer infectado en memoria, el código malicioso remplaza los datos del programa legítimo ejecutándose e infectando la computadora.

Este tipo de ataque se ve a menudo ya que los programas no son perfectos y cientos de autores de malware intentan aprovecharse de vulnerabilidades en estos programas legítimos para infectar computadoras. Esto crea desconfianza en programas legítimos ya que el usuario puede pensar que Internet Explorer o Adobe Flash intenta atacar su computadora. Como he mencionado anteriormente en mi artículo Antivirus; lo que conocemos y lo que no, un programa legítimo no puede convertirse en malware por sí mismo. Para que un programa legítimo intente atacar tu computadora, se requiere de una inyección de código malicioso por un malware o un hacker a un buffer de este programa legítimo.

¿Cómo defendernos contra los buffer overflow attacks?

Los antivirus tradicionales no ofrecen protección contra este tipo de ataque ya que solo escanean los archivos de tu computadora esperando encontrar un perfil en su listado de malware. Para prevenir este tipo de ataques, lo primero que se debe hacer es mantener los programas actualizados. Las compañías de software los actualizan a menudo para corregir errores y prevenir ataques, pero la verdad es que desde que se encuentra un error de estos en un programa hasta que lo corrijan, pueden pasar varios días o semanas. Ya para este entonces los autores de malware se han aprovechado de esta vulnerabilidad para atacar computadoras que no tengan protección contra buffer overflow.

Un módulo de HIPS comúnmente protege contra inyección de código de un programa a otro para evitar que malware inyecte código malicioso a otro programa, pero existe otro mecanismo de prevención que actualmente se encuentra solamente en COMODO Internet Security 4 (www.comodo.com) y es un Memory firewall, que se encarga de monitorear programas en memoria que puedan tener este tipo de vulnerabilidad. COMODO detiene el programa que intenta ejecutar código dentro de un buffer de otro programa para evitar los Buffer Overflow Attacks. Este Memory Firewall es parte de la línea de defensa de prevención en COMODO Internet Security 4.

Los ataques de buffer overflow son un ejemplo de los cientos de ataques y peligros que existen que los antivirus tradicionales no pueden prevenir y la mayoría de las compañías que desarrollan estos antivirus no les dan la importancia que requieren ya que alegan que actualizan sus bases de datos continuamente para mantener a sus usuarios “protegidos”.

HIPS, Behavior Blockers y Sandboxing. ¿Qué son y cómo nos protegen?

Diariamente se estima que se crean y se liberan al internet cerca de 30,000 malware. Con un numero tan alto, las compañías de antivirus no pueden mantener al día los listados de malware de sus productos para “proteger” a sus usuarios. Como resultado, varias compañías han decidido añadir a sus productos nuevas tecnologías de prevención contra malware como el HIPS, el Behavior Blocker y el Sadboxing. Este articulo es un intento de explicar el funcionamiento de cada una de estas tecnologías y demostrar que instalándolas junto a un antivirus tradicional, añadimos la línea de defensa mas importante contra malware; prevención. También se pretende demostrar que los antivirus tradicionales no protegen, sino que detectan y limpian malware ya existente en la computadora y a diferencia de estos antivirus, estas nuevas tecnologías previenen de infecciones o ataques que los antivirus no detectan como por ejemplo los tan populares “cero day threats” (malware nuevo que los antivirus no detectan).

HIPS (Host Intrusion Prevention System)

Un HIPS (sistema de prevención contra intrusos) monitorea cada actividad que realiza un programa y notifica al usuario lo que esta pasando para que este tome acción, permitiendo o bloqueando la acción. A diferencia de los antivirus tradicionales que escanean los programas para compararlos con un listado de malware y poder detectarlos, el HIPS monitorea las acciones de los programas, notificándole al usuario si este programa intenta realizar una acción que puede ser maliciosa.

Los HIPS son evitados por los usuarios ya que su reputación es que suelen ser intrusivos. Para que los HIPS detengan o le permitan la acción a los programas, dependen de la contestación del usuario a ciertas notificaciones. Por ejemplo, si el HIPS detecta que un programa esta tratando de conectarse al internet, notifica al usuario esta acción y le da la opción de proseguir o bloquear la acción. Si este mismo programa intenta cambiar los registros de Windows, o crear un archivo en el disco, el HIPS también notifica al usuario de esta acción para que decida si procede o la bloquea. Esto puede crear falsos positivos o “false positives” ya que el HIPS te puede advertir que un programa legítimo intenta conectarse al internet o crear un archivo nuevo en el disco y el usuario puede elegir bloquear esta acción que no es maliciosa.

Pero estos falsos positivos se han reducido considerablemente ya que los creadores de HIPS han madurado sus técnicas para mejorar estos sistemas. La mayoría de los HIPS incluyen listados de programas legítimos que el HIPS utiliza al momento de monitorear un programa. Si el HIPS monitorea un programa que encuentra en el listado de programas legítimos, no le notifica al usuario de la acción que este realiza ya que el mismo es confiable.

Adicional, los HIPS incluyen sistemas de consultas de comunidad o “community advisory” en las notificaciones a los usuarios. Estos sistemas intentan ayudar al usuario a seleccionar la mejor opción de bloquear o continuar en base a las respuestas de otros usuarios. En otras palabras, cada vez que un usuario bloquea o permite el acceso a un programa, el HIPS almacena esta información en una base de datos central y la comparte con la comunidad de usuarios de ese HIPS. De esta manera cuando el HIPS despliega la notificación, el usuario puede ver el promedio de los usuarios que han bloqueado la acción y de los que la han permitido.

Al momento de seleccionar bloquear o continuar con una acción, el HIPS crea reglas al programa que monitorea para no volver a notificar la misma acción al usuario. Estas reglas pueden ser editadas o borradas por el usuario en cualquier momento.

Muchos usuarios optan por no instalar un HIPS por el hecho de que los HIPS aparentan estar dirigidos a usuarios avanzados o a usuarios que están dispuestos a dedicar tiempo a contestar notificaciones de seguridad cada vez que el HIPS intente prevenir un ataque o infección.

Los HIPS no sólo protegen de ataques que los antivirus tradicionales no pueden, pero también ayudan a educar al usuario de como los programas realizan varias acciones para lograr su propósito y de cuantos procesos deben ocurrir antes de que el programa realice su trabajo. De esta manera, el usuario puede luego identificar malware con mayor facilidad si se familiariza con los procesos y acciones que ocurren al momento de ejecutar un programa ya sea legítimo o malware.

Behavior Blockers

Similar a los HIPS, los Behavior Blockers (de ahora en adelante BB) no utilizan listados de malware para proteger la computadora. Similar a los HIPS, el BB notifica al usuario de cualquier comportamiento potencialmente dañino para la computadora. A diferencia de los HIPS, los BB no utilizan reglas por cada acción de los programas, sino que califican los programas como maliciosos o no similar a un antivirus tradicional. Los BB tienen la capacidad de identificar si un programa es malicioso sin la necesidad de alertar al usuario para buscar su aprobación. El BB monitorea el comportamiento de los programas, identificando si son potencialmente dañinos o no. Los BB normalmente tienen niveles de configuración que permite al usuario controlar las notificaciones, graduando la sensibilidad con la cual el BB va a monitorear los programas. Si el nivel graduado es bajo, el BB alerta al usuario solamente cuando reconoce un comportamiento malicioso. Si el nivel graduado es alto, el BB notifica al usuario por cualquier comportamiento sospechoso de cualquier programa que se ejecute en la computadora.

Muchas veces los BB son acompañados de un motor adicional basado en listado de malware. Esto lo hacen para reducir los falsos positivos y al momento del BB analizar un programa, primero lo busca en el listado de malware para detectarlo antes de analizar su comportamiento. Esto también crea un ambiente de seguridad con múltiples líneas de defensa.

Sandboxing

La tecnología de Sandboxing se esta haciendo cada día más popular al momento de prevenir ataques o infecciones de malware. Sadboxing utiliza un método de virtualización para proteger la computadora. Lo que hace el sandbox es aislar los programas en tu computadora en un ambiente seguro con privilegios limitados para que no puedan alterar, crear o borrar archivos o registros que puedan dañar el sistema operativo. Si, por ejemplo, ejecutamos el navegador de internet en un sandbox los cambios que realice el navegador de internet al sistema operativo se pierden al momento de reiniciar la computadora. Si el navegador de internet intenta ejecutar otro programa, este también se ejecuta dentro del sandbox para limitar sus acciones. Esto funciona de esa manera ya que el 80% del malware que infecta las computadoras es a través del navegador de internet.

Algunos navegadores de internet de hoy, como Google Chrome, implementan Sandboxing para aislar procesos que puedan ser ejecutados sin el permiso del usuario para evitar que la computadora se infecte. El Sandboxing también se utiliza junto a HIPS y Behavior Blockers para minimizar las notificaciones a los usuarios y como una línea adicional de defensa.

Implementación de estas tecnologías

COMODO Internet Security 4.0 (www.comodo.com) implementa HIPS y Sandboxing como parte de las múltiples líneas de defensa en su seguridad. El modulo de HIPS de COMODO se conoce como Defense Plus (Defense+) e implementa reglas por cada acción de los programas. Para minimizar las alertas o notificaciones a los usuarios, COMODO incluye un Sandbox que se encarga de aislar programas y ejecutarlos en su ambiente con privilegios limitados. COMODO trabaja en líneas de defensa de la siguiente manera: el antivirus intenta detectar malware, de no detectar nada, el HIPS analiza las acciones del programa para prevenir cualquier ataque. Si el programa no existe en el listado de programas seguros del HIPS, el Sandbox aísla el programa para que no pueda explotar vulnerabilidades en el sistema operativo. COMODO también implementa un modulo de consultoría de comunidad (“comunity advisor”) para intentar ayudar al usuario a seleccionar la mejor opción al momento de bloquear o permitir una acción de un programa.

DriveSentry (www.drivesentry.com) implementa un modulo de Behavior Blocker junto a un antimalware basado en listados similar a un antivirus. De esta forma Drivesentry implementa múltiples líneas de defensa ya que al momento monitorear un programa, lo escanea contra el listado de malware, luego analiza su comportamiento y luego revisa en su base de datos de consultoría de comunidad para intentar prevenir una infección.

Otro Behavior Blocker es PCTools Threatfire (www.threatfire.com) y similar a DriveSentry, también incluye un modulo de antimalware basado en listas de malware.

Sandboxie (www.sandboxie.com) es un programa que implementa Sandboxing. Este programa no implementa múltiples líneas de defensa como los anteriores, pero combinado con DriveSentry es excelente para proteger la computadora, añadiendo una línea más de defensa.

¿Vale la pena implementar este tipo de tecnología?

Con un total estimado de 30,000 malware creados y liberados diariamente, los antivirus tradicionales solamente no pueden mantenerse al día para brindar la protección que necesitamos. Si corres tu computadora con un antivirus tradicional solamente, considera instalar una de las aplicaciones mencionadas anteriormente junto a tu antivirus para crear un ambiente de múltiples líneas de defensa.

¿Cuál es la importancia de las múltiples líneas de defensa?

Vamos a contestar esta pregunta utilizando un ejemplo que se vive a diario con malware. Digamos que solamente cuentas con un antivirus tradicional y que tu computadora se infecta con malware que éste antivirus no conoce (lo cual sucede diariamente). En este caso no tienes una segunda línea de defensa que se active para detener la infección.

Ahora digamos que solamente tienes un HIPS instalado en tu computadora y te alerta que un programa intenta realizar una acción maliciosa y apruebas esta acción por error. En este caso no tienes un Sandbox que pueda aislar ese malware para que no haga el daño que pretendía hacer.

Hoy día nos topamos con malware que saben identificar si se están ejecutando en un ambiente aislado de un Sandbox y tienen la capacidad de esquivar la protección de un Sandbox y ejecutarse en el ambiente real de tu computadora. En este caso, si tenemos un HIPS o un Behavior Blocker instalado en la computadora, el mismo pudiera identificar que este malware intenta realizar una acción maliciosa para así detenerlo.

Nada es 100% seguro, por esto tratamos de que este porcentaje de seguridad se mantenga lo más alto posible implementando múltiples líneas de defensa y los desarrolladores de sistemas de seguridad trabajan diariamente para perfeccionar sus programas y brindar mejor protección.

La importancia de un Network Firewall

Como parte de las líneas de defesa para proteger tu computadora, un Network Firewall es una pieza fundamental. Al acceder al internet, no solo expones a tu computadora a que sea atacada por malware o “hackers”, pero también expones tu dinero y hasta tu identidad.

Un Firewall o en español contrafuegos, forma parte de dos líneas de defensa, prevención y detección ya que protege tu computadora de ataques externos y detecta si algún malware en tu computadora intenta conectarse al internet para enviar información privada. Los Firewalls son filtros que bloquean o permiten conexiones de información por internet.

¿Como funciona un firewall?

Un Firewall crea una barrera entre tus datos privados y el internet u otras redes públicas. El Firewall crea reglas de programas seguros y puertos de comunicación para permitir o deshabilitar el acceso al internet. El Firewall también crea reglas para permitir o deshabilitar que programas en su computadora reciba conexiones externas. En otras palabras, previene que “hackers” entren en su computadora y detecta si un programa se intenta conectar al internet. Si usamos una analogía y vamos a una tienda e intentamos sacar mercancía, la alarma de la tienda sonará, detectando que alguien intenta salir de la tienda sin autorización, ya que no pagaron la mercancía.

Al igual que un antivirus tradicional, un Firewall por si solo no debe ser la elección al momento de hablar de seguridad en tu computadora. No creas que un Firewall te va a proteger cuando ejecutes tu web browser y navegues al internet. Para esto se utilizan los “Sandbox”, HIPS y antivirus.

¿Contra qué protegen los Firewalls?

El Firewall protege contra malware y “hackers” que intenten conectarse a tu computadora y contra malware que pueda estar en tu computadora e intenta conectarse al internet para enviar información privada. En términos un poco más técnicos, los Firewalls monitorean paquetes de información (los datos que viajan en las redes son enviados en pequeños paquetes de información). Estos paquetes tienen su propia firma que le permite al Firewall identificar la fuente que envía cada paquete. El Firewall se configura creando reglas para cada programa que deseamos permitirle el acceso al internet y estas reglas son utilizadas por el Firewall al momento de analizar los paquetes de información para determinar si permite o deniega el acceso o la salida cada paquete.

¿Contra qué NO protegen los Firewalls?

Como siempre he mencionado, la seguridad de tu computadora no debe depender de solo un programa como un antivirus o un Firewall. Los Firewalls no protegen contra ciertos tipos de malware como spyware, adware, Rogues o técnicas de “phishing” (fraude por internet). La verdad, estas no son razones para NO instalar un Firewall. Un Firewall solamente no es suficiente para proteger tu computadora, pero si debo decir que los proveedores de servicio de Internet no brindan ningún tipo de protección de Firewalls y tampoco se aseguran que sus clientes tengan uno instalado. Esto implica que cualquier persona puede tener conexión al internet para hacer lo que desee, como liberar malware o escanear la red e intentar conectarse a computadoras que no tengan este tipo de protección.

Un Firewall debe ser tu primera línea de defensa como parte de la prevención.

Opciones de Firewall libres de costo.

1. COMODO Firewall (http://personalfirewall.comodo.com/)

2. Online Armor Firewall (http://www.online-armor.com)

3. PrivateFirewall Free (http://www.privacyware.com/personal_firewall.html)

4. PCTools Firewall Free (http://www.pctools.com/firewall)

5. Outpost Firewall Free (http://free.agnitum.com)

¿Programas seguros, maliciosos y desconocidos. Cómo los antivirus manejan estos programas?

Un programa es un conjunto de código que le dice lo que tiene que hacer a la unidad central de procesamiento de datos o CPU en la computadora. El código de los programas son comandos que se ejecutan, dando instrucciones a la computadora de lo que debe hacer. Para propósitos de este articulo, vamos a definir tres estados en los que se puede clasificar los programas. Estos estados son:

1. Programa seguro (ej. MS Word, Internet Explorer, MSN Messenger) es un programa confiable que usamos día a día.

2. Programa maliciosos o malware (ej. Trojan, spyware, adware, virus, worm) es un programa que está diseñado para hacer daño

3. Programa desconocido (todo programa que ni el antivirus ni el usuario conoce) es un programa que no sabemos si es malware o si es seguro.

Los antivirus trabajan bajo la arquitectura de “blacklisting”, lo que significa que no permite que programas maliciosos o malware se ejecuten en la computadora. Veamos como funcionan los antivirus y su arquitectura al momento de detectar malware. De la misma manera que los programas se clasifican en tres estados, vamos a crear tres ambientes de prueba para los antivirus: ejecutaremos un programa seguro, un malware y un programa desconocido y analizaremos los resultados.

Programa Seguro

Si tomamos un programa seguro y lo escaneamos con un antivirus tradicional, el antivirus lo busca en su “blacklist”, al no encontrar este programa, el mismo puede ser ejecutado sin problemas.

Programa malicioso

Si tomamos un malware, el cual nuestro antivirus conoce o en otras palabras, que el antivirus tiene su perfil en el “blacklist” y lo escaneamos, el antivirus lo busca en el “blacklist” y encuentra ese programa, lo detecta y evita que el programa se ejecute.

Programa desconocido

En este caso, ejecutamos un programa que el antivirus no reconoce ya que no tiene un perfil en el “blacklist” y tampoco sabemos si el programa es seguro o no. Si escaneamos este programa, el antivirus busca el perfil en el “blacklist” y no lo encuentra y en este caso sucede lo mismo que en el caso de un programa seguro; el antivirus permite que el programa se ejecute sin detenerlo.

¿Qué era ese programa que acabos de ejecutar?

El programa desconocido que ejecutamos puede ser malicioso o no, así que la arquitectura de los antivirus tradicionales de “blacklisting” permite que programas potencialmente dañinos se ejecuten en la computadora. Estos programas se conocen como PMA (“Potentially malicious applications”). Los PMAs son programas que no son detectados por los antivirus como malware y el usuario no conoce si el programa es malicioso o no.

Los autores de malware, antes de liberar sus creaciones al internet, se aseguran de que los antivirus tradicionales no puedan reconocer su creación. De esta manera se aseguran de que el malware que escribieron pueda hacer daño. Este nuevo malware se convierte automáticamente en un programa desconocido ya que ningún antivirus tradicional lo detecta y los usuarios no saben si es o no malware.

Actualmente si cuentas con un antivirus tradicional para “proteger” tu computadora, lamentablemente estas creando un ambiente donde todo tipo de programa puede ejecutarse. Piensa en tu antivirus como un colador donde lo único que queda atrapado es lo que el antivirus encuentra en su “blacklist” y lo demás pasa a tu computadora sin ser reconocido como PMA o como un programa seguro.

Llevamos más de quince años confiando en este tipo de tecnología de los '80 que se creó para limpiar y remover malware y no para prevenir una infección o ataque. Todavía hoy en el 2010 tenemos computadoras que solo cuentan con un antivirus como mecanismo de defensa sin saber que existen cientos de ataques que un antivirus tradicional no puede detectar.

¿Cuál es la alternativa al antivirus tradicional?

No se trata de reemplazar al antivirus, pues es parte esencial de las tres líneas de defensa que debes tener en tu computadora: Prevención, detección y cura. Pero la verdad es que un antivirus solo no previene que tu computadora se infecte. A diferencia del “blacklisting” que utilizan los antivirus, nuevas tecnologías implementan “whitelisting”, creando un ambiente ideal en tu computadora, permitiendo la entrada solamente a programas seguros y reconocidos. Este tipo de tecnología no detiene solamente a los programas maliciosos, también se encargan de crear un ambiente totalmente aislado para ejecutar programas desconocidos. Veamos un ejemplo de un ambiente ideal:

COMODO Internet Security 4.0 (www.comodo.com)

Este “suite” de seguridad brinda la protección que necesitas al precio que todos queremos: $0. CIS (COMODO Internet Security) se compone de un “Network Firewall”, un motor de “HIPS”, un Antivirus tradicional con “Heuristics”, un “Memory Firewall” y un “Sandbox”. Todos estos modulos crean un ambiente de “default deny protection”(DDP), lo que significa que solamente programas conocidos pueden ejecutarse en tu computadora. El modulo de “HIPS” utiliza “whitelisting” para filtrar programas conocidos y malware. El antivirus se encarga de detectar malware que exista en el “blacklist”, pero antes del antivirus, el mismo modulo de “HIPS” monitorea áreas especificas del sistema operativo (Windows), para detectar cualquier malware que el antivirus no pueda reconocer. Pero mejor aún, combinado al “HIPS” y trabajando de la mano, el “Sandbox” de CIS se encarga de aislar todo programa que no exista en el “whitelist” del “HIPS”, lo que a su vez también aísla malware que no exista en el “blacklist” del antivirus. Estos programas aislados, son automáticamente enviados a los servidores de COMODO, los cuales son analizados por expertos que identifican si el programa es malware o no. Luego, COMODO libera una actualización a CIS que se encarga de añadir ese programa al “whitelist” o al “blacklist” de acuerdo a lo que los expertos encuentren. Estas actualizaciones ocurren cada hora y cientos de archivos son evaluados diariamente.

Como podemos ver, este tipo de ambiente de DDP (“default deny protection”), se encarga de que solamente programas seguros y conocidos se puedan ejecutar en tu computadora los programas desconocidos son ejecutados en un ambiente aislado (“Sandbox”), en el cual no pueden hacer daño a tu computadora. Si comparamos este tipo de protección con la “protección” que te brinda un antivirus tradicional, podemos notar la gran diferencia que existe.

Al momento de seleccionar un programa de seguridad para tu computadora

Debes asegurarte primero de no pagar solamente por un antivirus. Todas estas compañías de seguridad como Symantec, McAfee, Panda, Trend, etc., venden sus antivirus como programas individuales y tienen también lo que se conoce como “Internet Security Suites”. Estos “suites” normalmente se componen de antivirus, “email scanners”, “Network Firewalls” y herramientas para mejorar el rendimiento de tu computadora. Vamos a tomar como ejemplo McAfee, si visitas su “web site” (http://home.mcafee.com/Store/Store7.aspx?cid=60460), puedes ver que tienen varios productos a diferentes precios, comenzando con McAfee Antivirus Plus, McAfee Internet Security y McAfee Total Protection. Si decides comprar McAfee, asegúrate de comprar el Intermet Security o el Total Protection.

Igual que McAfee, Symantec tiene el Norton Antivirus solo, tiene Norton Internet Security, Norton 360 y Norton 360 Premier edition. Si decides que quieres usar Norton, te recomiendo el Norton 360 Premier edition. Si notas, de los dos productos el más caro aparentemente es el que mejor protección brinda. Si la preocupación es de presupuesto, no debes sacrificar seguridad por no poder comprar un “suite” de estas compañías reconocidas. Mas adelante presento alternativas libre de costo que reemplazan estos “suites” de seguridad.

Al seleccionar un programa de seguridad para tu computadora debes asegurarte de adquirir un producto que no sea solamente un antivirus y que brinde mejor seguridad implementando tecnologías modernas como “HIPS”, “Sandbox” o “Behavior Blokers”. Un “Network Firewall” tambien es esencial para prevenir infecciones y ataques de “hackers”.

Como he mencionado anteriormente, COMODO Internet Security se compone de un “Network Firewall”, Antivirus con “Heuristics”, HIPS y “Behavior Blocker”, “Memory Firewall” y “Sandbox”, todo bajo la metodología de “Default Deny Protection”(DDP), que solamente permite acceso a tu computadora a programas seguros y conocidos, previniendo que se ejecuten programas no deseados. Todo esto, totalmente gratis.

Al igual que otras compañías de antivirus, COMODO tiene una versión pagada de su producto, pero a diferencia de estas otras compañías, los productos no varían. La única diferencia entre COMODO Internet Security Free y COMODO Internet Security Pro, es el servicio personalizado que te ofrece COMODO y el servicio de limpieza remoto que también ofrecen.

La seguridad debe ser un derecho y no un privilegio, por eso, al momento de elegir un producto para proteger mi computadora, COMODO Internet Security es mi mejor opción y las alternativas libres de costo brindan igual o mejor seguridad que los “suites” pagados si se combinan en líneas de defensa como prevención, detección y cura.

Alternativas libres de costo.

A continuación, he preparado un listado de varias aplicaciones que puedes seleccionar para proteger tu computadora libre de costo. Estas aplicaciones no son “suites” completos y se deben instalar como complemento al antivirus tradicional. Recuerda que se trata de crear varias líneas de defensa, con estas sugerencias tendrás antivirus, “HIPS” o “Behavior Analysis”, “Sandbox” y “Network Firewall”.

1. COMODO Internet Security Free (www.comodo.com) – Antivirus con “Heuristics”, “Network Firewall”, “HIPS”, “Sandbox”, “Memory Firewall”.

2. Avast 5 Free (http://www.avast.com/es-ww/comparison-chart#tab3), Sandboxie (www.sandboxie.com), PCTools Firewall free (www.pctools.com/firewall) - Avast es un antivirus libre de costo con “Heuristics”. Sandboxie utiliza la tecnología de “Sandbox” para aislar aplicaciones maliciosas y desconocidas y evitar que dañen tu computadora. PCTools Firewall es un “Network Firewall” que previene ataques de “hackers” y malware que intente entrar a tu computadora.

3. Avira AntiVir Free (www.free-av.com), ThreatFire (www.threatfire.com), PCTools Firewall Free (www.pctools.com/firewall) – Avira Antivir es uno de los mejores antivirus tradicionales en el mercado. Su listado de malware es extenso y su motor de “heuristics” es muy bueno. ThreatFire es un “Behavior Blocker” que no necesita listados de malware para proteger tu computadora y puede prevenir infecciones de malware que el antivirus no reconozca.

4. Geswall Free (http://www.gentlesecurity.com/desktop.html) – “Behavior Blocker”. Esta aplicación complementa al antivirus, detectando malware que el antivirus no reconoce y previniendo que aplicaciones se conecten al internet sin el consentimiento del usuario.

5. DriveSentry (www.drivesentry.com) – Este programa utiliza líneas de defensa para prevenir ataques. Primero utiliza “blacklisting” para detectar malware, “whitelisting” para identificar aplicaciones seguras y conocidas y “Behavior Blocker” para identificar malware que los antivirus no detectan.

6. Sandboxie (www.sandboxie.com) – Este programa utiliza la tecnología de “sandboxing” para aislar aplicaciones en la computadora, ayudando a prevenir que esta se infecte y mejorando la privacidad ya que los navegadores de internet (Internet Explorer, Firefox, Chrome, etc.) quedan aislados y el historial y los “cookies” se almacenan en el área designada para ellos, borrándose de la computadora evitando que “hackers” o malware los utilicen para hacer daño.

7. Online Armor Free (http://www.online-armor.com) – “Network Firewall”.

Anti virus; lo que conocemos y lo que no.

¿Cómo es posible que exista una solución a un problema, sin embargo el problema se hace más grande? ¿Cómo es posible que mi PC se infecte cuando tengo un anti virus instalado? ¿Por qué estoy pagando por seguridad y aún así mi PC se infecta? –Melih Abdulhayoglu (www.melih.com)

En este artículo pretendo detallar lo que es un anti virus y cuál es el verdadero propósito de este software. También se discutirá brevemente su arquitectura y la razón por la cual confiamos tanto en ellos. Claro está que no puedo abundar en todo esto si no repasamos cual es el funcionamiento de un software, aplicación o programa. Para finalizar, hablaré de nuevas alternativas de seguridad y la importancia de conocer y educarnos en cuanto a las amenazas existentes que pueden comprometer la seguridad de nuestras computadoras y hasta nuestra identidad.

¿Qué es software?

“Software” es un término que se le da a una aplicación ó a un conjunto de aplicaciones de computadoras. En español, el término correcto se conoce como dotación lógica.

¿Qué es una aplicación?

Una aplicación ó programa, como también se le conoce, es una colección de códigos ó comandos que le especifica al sistema operativo de tu PC lo que tiene que hacer. Por ejemplo, cuando vas a navegar en el internet, ejecutas una aplicación conocida como "web browser", que puede ser Internet Explorer, Firefox, o Google Chrome que tienen instrucciones para interpretar páginas de internet y mostrarte fotos, texto, videos, etc.

¿Qué es un virus?

Al igual que tu "web browser", un malware tiene instrucciones pero, en este caso, son instrucciones con intenciones maliciosas como, por ejemplo, borrar archivos importantes, capturar lo que escribes y enviarlo por internet a otra computadora, abrir aplicaciones sin el consentimiento del usuario, entre otros.

¿Qué es malware?

El término malware es un compuesto de software malicioso. En otras palabras lo que conocemos como virus, trojan, worm, adware, spyware y rootkits entre otros, son clasificados como malware. De este punto en adelante, cuando vaya a hacer referencia a un virus, utilizaré el término malware.

¿Qué es un anti virus?

El anti virus se creó en los 80 para DETECTAR malware. Entre el 1987 y 1988, un individuo escribió una aplicación con instrucciones maliciosas que se transmitió a través de discos externos ó “floppies”, causando mucho daño de computadora en computadora. De esta forma, nació el primer malware.

Para limpiar y remover el malware de la computadora, otro individuo decide escribir una aplicación que pueda detectar ese malware y limpiar la computadora. Para lograrlo, se crea un algoritmo matemático el cual es capaz de crear una firma ó "signature", único para cada archivo. Es decir, que este nuevo malware fue analizado y crearon un número único que lo identifica entre otros archivos. Piensa en el “signature” como un perfil único del archivo. Este “signature” es almacenado en una base de datos que el anti virus utiliza cuando escanea la PC. Antes de continuar, recuerda que el primer anti virus se creó para limpiar, no para proteger. Tengamos eso en mente mientras leemos el artículo.

Para entender mejor la funcionalidad del anti virus, podemos usar la analogía de policías y criminales. Un anti virus trabaja como trabaja la policía, buscando criminales, que por ser criminales, ya se conoce el perfil y tiene un expediente creado y posiblemente se tiene una foto ó boceto del individuo. Al tener todo esto, si la policía encuentra a este individuo en la calle, pueden arrestarlo, detectándolo antes de que vuelva a hacer daño.

¿Cómo puedes detectar una corriente de aire en un cuarto, si no sabes lo que es una corriente de aire? ¿Cómo se detecta una bacteria en la sangre sin saber cómo identificar una bacteria? Para detectar, se requiere saber exactamente lo que se está buscando.

A diferencia de los humanos y en este caso, específicamente criminales, un software que no es malicioso, no va a cambiar a malware. Por otra parte, una persona que parece no hacer daño, puede tornarse en un asesino en serie en cinco minutos. Esto no sucede con software. Un software de un “vendor” (el desarrollador ó programador del software) confiable, no va a cambiar a malware por sí mismo.

Un asesino en serie sigue atacando a sus víctimas porque la policía no sabe como identificarlo. El asesino seguirá haciendo daño hasta que la policía pueda crear un perfil ó “signature” del asesino para poder capturarlo, si logran hacerlo. Este es el ambiente en el que vivimos día a día, un ambiente en el que compartimos con todo tipo de personas, conocidos y no conocidos, exponiéndonos al peligro; en el mundo de las computadoras no tiene que ser igual.

¿Por qué trabajamos en un ambiente donde cualquier software puede correr en tu PC? ¿Por qué no creamos un ambiente en el que solamente software no malicioso pueda correr? Si ya sabemos que un software confiable, no va a cambiar a malware, podemos trabajar en un ambiente donde los “signatures” sean de software confiable y no de malware. Este listado de software no malicioso se conoce como “white listing” y el listado de malware ó “signature listing” se conoce como “black listing”. Más adelante discuto como nuevas tecnologías implementan listados de software confiable ó “White listing”, para prevenir ataques de malware.

¿Qué es un “signature”?

Como mencionamos anteriormente, los anti virus utilizan los “signatures” ó perfiles, para detectar malware. Las compañías que desarrollan anti virus como lo son Symantec, McAfee, Kaspersky, etc., cuentan con un grupo de personas especializadas en análisis de malware. Estas personas realizan investigaciones y navegan por el internet en busca de nuevos malware para analizarlos, luego crear un perfil ó “signature” y luego actualizar las bases de datos de los anti virus para que éste pueda detectar ese malware. Cada compañía tiene su propio algoritmo para analizar malware y generar su propio “signature”. Un algoritmo es un conjunto de código en un software bien definidos que permite realizar una actividad mediante pasos sucesivos.

¿Cómo el anti virus utiliza los “signatures” para detectar malware?

Durante el proceso de escaneo, el anti virus lee cada archivo en la PC, luego, utilizando el mismo algoritmo matemático que utilizan los analistas para generar “signatures”, el anti virus genera un “signature” del archivo y revisa si éste existe en la base de datos. Si el resultado de la búsqueda es positivo, el anti virus marca el archivo escaneado como malware, de lo contrario continúa escaneando otros archivos realizando el mismo procedimiento.

Los anti virus y el mercadeo.

Como mencioné anteriormente, las compañías de anti virus se encargan de recopilar toda muestra de malware que puedan encontrar para actualizar las bases de datos de sus productos y mantener el rango de detección alto, pero la realidad es que cada minuto se desarrollan miles de malware y la mayoría son liberados al internet, esparciéndose por todo el mundo, lo que significa que para mantener tu PC protegida, dependes de cientos de cazadores de malware trabajando día y noche para actualizar sus productos.

El depender de estos cazadores trae, como consecuencia, lo siguiente:

1. Estos cazadores no logran recopilar el 100% del malware que se libera al internet. La realidad es que la cantidad de malware que logran analizar, contra la cantidad de malware que se libera es mínima y los cazadores no pueden mantenerse al día con el malware que se libera.

2. La mayoría de los anti virus no detectan los malware de cero días. Los malware de cero días o “zero day threat”, es malware nuevo, que todavía no ha sido identificado por los cazadores de malware para poder crear su “signature” y actualizar las bases de datos de los anti virus. Esta es la falla más grande de los anti virus y por esta razón es que se dice

que los anti virus detectan y no previenen, brindando una protección bien limitada al usuario.

Todos estos anti virus populares que cuestan mucho dinero no te brindan la seguridad que necesitas contra los riesgos que existen hoy día. Por esta razón, aún teniendo un “buen” anti virus, las PCs se siguen infectando y terminamos gastando el doble ya que pagamos por un anti virus que no nos protege como merecemos y también le pagamos a un tercero para que limpie la PC.

Un dato importante que no puedo pasar por alto.

Ya sabemos que los anti virus trabajan con “signatures”. Pues déjame decirte que en el mundo de los anti virus existe algo que se conoce como un “false positive” que, por un error causado por los expertos ó cazadores que generan los “signatures”, el anti virus puede detectar un archivo benigno como malware. Esto sucede cuando un archivo es analizado erróneamente y se crea un “signature” falso. En otras ocasiones sucede cuando se genera un “signature” genérico para intentar detectar familias de malware ó mutaciones, esto los discuto más adelante. Generar un “signature” falso ó erróneo, puede causar que tu PC deje de funcionar porque el anti virus intenta desinfectar lo que detectó como malware borrándolo de la PC.

En abril de 2010 la compañía McAfee liberó una actualización a la base de datos de su producto en la cual se incluyó un “signature” que creó un “false positive” en PCs que corrían con Windows XP. Este error causó miles de dólares en daños y obligó a McAfee a pagar por los daños, ya que su producto borró un archivo importante de sistema de Windows XP y causó que las PCs dejaran de funcionar. En éste caso, el anti virus se convirtió en el virus.

Líneas de defensa.

Piensa por un minuto que tu PC es como tu casa, pues en tu PC tienes cosas de valor al igual que en tu casa, como documentos personales, fotos, música, videos, etc. Ahora piensa en lo siguiente: en tu casa recibes visitas y preparas comida para amistades y pasan un buen rato. Le permites la entrada porque conoces sus intensiones pues son tus amigos. ¿Le permitirías la entrada a tu casa a cualquier persona sin saber quién es? ¿Te preocupa o no que un ladrón entre a tu casa? Entonces, ¿Por qué le permites la entrada a cualquiera en tu PC?

Para explicar mejor lo que acabo de decir, vamos a analizar las líneas de defensa que tenemos en nuestras casas. La primera es la puerta, que previene que entren personas que no son bienvenidas. La segunda es la alarma, que detecta intrusos. Y la tercera es la póliza de seguros que interviene en caso de que las primeras dos líneas fallen, cubriendo las pérdidas que ocurran porque nada es 100% seguro. Si no tenemos todas estas líneas de defensa, no tenemos la seguridad que necesitamos y que merecemos.

Los anti virus populares y tradicionales que solo trabajan detectando malware, representan la alarma en tu casa. Estos anti virus no previenen la entrada de malware a tu PC, solo detectan malware que ya reside en tu PC. Si esto es cierto; ¿Por qué no tienes una puerta en tu PC? Tienes una alarma contra intrusos, llamada anti virus, pero no tienes una puerta. La alarma contra intrusos de tu PC solamente te va a alertar si conoce al intruso que entra. Si el intruso no está en la lista de intrusos del anti virus, va a entrar a tu PC sin ser detectado. Los anti virus tradicionales, solo identifican malware que conoce, pero los nuevos que no conoce pueden entrar a tu PC sin problemas.

Prevención, tu primera línea de defensa.

Un anti virus no debe ser tu primera línea de defensa. Si tu anti virus detecta malware en tu PC, significa que ya tu PC está infectada. El anti virus debe ser el último recurso de seguridad del cual dependas. El anti virus es la última línea de defensa que debe activarse, como antes mencionado, si se activa es porque tu PC ya está infectada. Aunque el anti virus es importante como parte de las tres líneas de defensa, debemos ser proactivos y prevenir que la PC se infecte a diferencia de ser reactivos y contar con un anti virus que detecta cuando ya el malware entró a tu PC.

Como método de prevención existen varias soluciones que logran detener ó prevenir la entrada de malware a tu PC. Estas soluciones, a diferencia del anti virus tradicional, utilizan nuevas tecnologías y la mayoría no implementan el uso de listas ó “signatures” de malware para funcionar. Tecnologías como el Heuristics, HIPS (Host Intrusion Prevention System), BA (Behavior Analysis), Network Firewall y “Sandboxing”, junto al anti virus tradicional, son implementadas para brindar mayor seguridad a los usuarios como parte de soluciones con tres líneas de defensa, contrario a solamente utilizar el anti virus.

Vamos a discutir varias de estas nuevas tecnologías con un poco de detalle para entender mejor el término prevención.

Heuristics

Algunos tipos de malware tienen la capacidad de mutarse y crear un archivo totalmente nuevo que un anti virus no puede detectar. El anti virus tiene el “signature” del archivo original, pero este nuevo archivo es irreconocible para el anti virus. Este nuevo malware se le conoce como variante, que significa que pertenece a la misma familia de malware que su original, hace el mismo daño que su original, pero su arquitectura cambia para no ser detectado por el anti virus.

Algunos anti virus utilizan algoritmos modernos para crear “signatures” genéricos, de manera tal que este pueda ser utilizado para detectar variantes de un malware. Para lograr esto, los analistas implementan lo que se conoce como “wildcards” ó comodín en los “signatures”. Estos comodines son caracteres especiales en el “signature” que el anti virus utiliza para detectar una variante de malware. De esta manera el anti virus puede detectar diferentes familias de malware. Un ejemplo de esto es el famoso Trojan.Vundo. El malware Trojan.Vundo es un malware popular que ha causado mucho daño durante los años y se caracteriza por instalar anti virus falsos en la PC y notificando al usuario que su PC está infectada para que el usuario pague por este software y de esta manera robar dinero y hasta la identidad del usuario. Este malware tiene variantes que pueden ser obviadas por anti virus que no implementan Heuristics y se puede catalogar como Trojan.Vundo y Trojan.Vundo.B, este último siendo una variación en la cual el código es semejante al primero, con pequeñas diferencias que evitan que el anti virus los detecte.

Algunas personas dicen que Heuristics no es una buena manera de prevenir ya que similar a la tecnología antigua, utiliza “signatures” para funcionar. De la misma forma, estos “signatures” genéricos que utiliza el Heuristics, producen altos resultados de “false positives”, que identifican archivos benignos como malware, pero existen varias formas de Heuristics y entre ellas está la emulación, que significa que el Heuristics ejecuta aplicaciones en un área virtual, analiza los comandos y el comportamiento de la aplicación e identifica si la aplicación es malware o no, identificando si los comandos que realizó son de carácter maliciosos.

HIPS (Host Intrusion Prevention System) y Behavior Analysis

Las tecnologías de HIPS y BA (Behavior Analysis) se diferencian de los anti virus tradicionales porque no utilizan “signatures” para detectar malware, sino que analizan el comportamiento de un archivo que se ejecuta en tu PC para prevenir un ataque ó infección. HIPS y BA se aprovechan de la arquitectura del sistema operativo (Windows en este caso), para analizar el comportamiento del malware y notificar al usuario de las acciones que va a realizar el malware ó simplemente le niega el acceso a ese malware.

El HIPS a diferencia del BA, monitorea áreas específicas del sistema operativo que son susceptibles a ataques de malware y si una aplicación intenta cambiar, borrar ó crear un archivo ó registro en una de estas áreas, el HIPS le notifica al usuario lo que va a suceder para que se tome acción ó como mencioné anteriormente, le niega el acceso a esa aplicación, previniendo que el malware haga daño.

Por otra parte el BA (Behavior Analysis), analiza el comportamiento del malware e identifica todo comportamiento que sea sospechoso y notifica al usuario ó simplemente detiene el malware antes de que cause daño, previniendo una infección. Como mencioné en la sección ¿Qué es malware?, esta tecnología utiliza listados de software confiable para crear un ambiente “default deny” ó “negación automática” , que significa que en tu PC todo programa que no sea reconocido como confiable, no va a ser ejecutado. A diferencia de los anti virus tradicionales que crean un ambiente “default allow” ó “permiso automático”, que significa que todo puede ser ejecutado, pero si detecta algo como malware, lo notifica al usuario y procede a limpiar el malware.

Sandbox

La tecnología de “sandboxing” es un tipo de ambiente virtual que se crea en tu PC. Este ambiente virtual se utiliza para ejecutar todas las aplicaciones que no sean reconocidas por el sandbox, limitando el acceso a áreas del sistema operativo que puedan ser atacadas por malware. Toda aplicación que se ejecute dentro del “sandbox”, se ejecuta con permisos limitados y la aplicación no tiene derecho a cambiar, crear ó borrar archivos ó registros que puedan dañar tu PC. La tecnología de “sandboxing” también crea el ambiente antes mencionado de “default deny”, previniendo que cualquier software sea ejecutado sin saber si es confiable ó no. El Sandbox es la mejor solución que se implementa para complementar los anti virus tradicionales, ya que se ha probado que el nivel de seguridad que ofrece es sumamente alto.

Network Firewall

Un firewall se utiliza para bloquear el acceso no autorizado en una red de computadoras como lo es el internet, permitiendo solamente acceso a comunicaciones ó aplicaciones autorizadas. El firewall es parte del ambiente “default deny” que se intenta crear en una PC, previniendo que aplicaciones no autorizadas se conecten al internet ó acepten conexiones externas no autorizadas, ya que existe mucho malware que su intención es capturar todos los datos posibles de tu PC y enviarlos por internet a otra computadora donde reside el creador del malware. Esto lo permite a criminales cibernéticos robar identidades ó información critica como cuentas de bancos y contraseñas del usuario. El firewall es crucial en la prevención contra malware en una PC.

Consideraciones al momento de adquirir un software de seguridad para tu PC

Lo primero que debes saber al momento de elegir un software de seguridad es que no necesariamente el más costoso es el mejor. Mucho menos, el que lleva más tiempo en el mercado es el mejor. Como he mencionado anteriormente, la mejor manera de mantener tu PC segura es con niveles de seguridad ó múltiples líneas de defensa. Al adquirir un software de seguridad, ten en consideración que el mismo debe brindar alternativas de prevención, detección y cura. Asegúrate de que el software tenga tecnologías modernas como HIPS, Behavior Analysis ó Sandboxing. En la parte de detección, te recomiendo que el anti virus que selecciones tenga Heuristics para incrementar el nivel de seguridad. Instala un Firewall si el software que vas a adquirir no tiene uno. Si ya tienes un anti virus, más adelante doy recomendaciones gratuitas y pagadas que complementan al anti virus utilizando la prevención (HIPS, BA, Sandbox), como defensa para la PC. Adquiere un software para realizar “backup” de tu información, pues esto es la cura cuando las primeras dos líneas de defensa fallen.

Prevención, detección y cura.

Ya es tiempo de que cambiemos la forma en la que protegemos nuestra PC y nuestra presencia en el internet. Es tiempo de implementar la prevención como primera línea de defensa y asegurarnos de tener todas las líneas de defensa necesarias para mantenernos seguros: Prevención, detección y cura. Porque nada es 100% seguro, pero la seguridad debe ser un derecho y no un privilegio.

A continuación, presento un listado de soluciones completas que utilizan el método de prevención como primera línea de defensa y puedes obtener niveles de seguridad en un mismo software.

1. Comodo Internet Security (www.comodo.com) – Esta es una solución completamente gratis que trabaja bajo la idea de “default deny protection”. Contiene un módulo de HIPS, Sandbox, “White Listing”, Network Firewall, actualizaciones automáticas de “signatures” y anti virus con Heuristics. El impacto en el desempeño de tu PC con este software es mínimo ya que implementa técnicas especializadas de programación para proteger utilizando los mínimos recursos de memoria y procesador posibles.

2. Norton 360 version4.0 (www.symantec.com) – Norton 360 es una solución un poco costosa pues su precio actual es $90 por protección para tres computadoras por un año. Esta suscripción se debe renovar anualmente. Norton 360 incluye anti virus con Heuristics, SONAR™ que es un Behavior Analysis, Network Firewall, actualizaciones automáticas, entre otros.

3. Kaspersky Internet Security 2010 (www.kaspersky.com) – Esta solución incluye anti virus con Heuristics, “Behavior analysis”, Firewall, sandboxing y actualizaciones automatizadas cada hora. El precio de esta solución es de $60 para un usuario.

4. Avira Premium Security Suite (www.avira.com) – Incluye anti virus con Heuristics, Behavior analysis, Firewall, entre otros. El precio de este software empieza en $54 para un usuario.

Soluciones para complementar los anti virus.

1. Geswall (http://www.gentlesecurity.com/desktop.html) – Geswall es un HIPS que también implementa sandbox. Geswall tiene una versión gratis y otra que cuesta desde $30 que extiende la protección a tu PC.

2. Defensewall (http://www.softsphere.com) – HIPS y Sandbox. El precio es de $40.

3. ThreatFire (http://www.threatfire.com) – HIPS y Behavior Analysis. Gratis.

4. DriveSentry (http://www.drivesentry.com) – HIPS y Behavior Analysis. Gratis.

5. Malware Bytes Anti Malware (www.malwarebytes.org) – Anti virus que solamente se utiliza para remover malware y limpiar PCs. Esta solución es buena tenerla para escanear la PC si se sospecha que ha sido infectada.

Referencias

www.melih.com

www.comodo.com

www.symantec.com

www.threatfire.com

www.drivesentry.com

www.remove-malware.com

www.malwarebytes.org

Nota: La tecnología “Default Deny Protection” (DDP)™ es una marca registrada de COMODO®.