Un programa es un conjunto de código que le dice lo que tiene que hacer a la unidad central de procesamiento de datos o CPU en la computadora. El código de los programas son comandos que se ejecutan, dando instrucciones a la computadora de lo que debe hacer. Para propósitos de este articulo, vamos a definir tres estados en los que se puede clasificar los programas. Estos estados son:
1. Programa seguro (ej. MS Word, Internet Explorer, MSN Messenger) es un programa confiable que usamos día a día.
2. Programa maliciosos o malware (ej. Trojan, spyware, adware, virus, worm) es un programa que está diseñado para hacer daño
3. Programa desconocido (todo programa que ni el antivirus ni el usuario conoce) es un programa que no sabemos si es malware o si es seguro.
Los antivirus trabajan bajo la arquitectura de “blacklisting”, lo que significa que no permite que programas maliciosos o malware se ejecuten en la computadora. Veamos como funcionan los antivirus y su arquitectura al momento de detectar malware. De la misma manera que los programas se clasifican en tres estados, vamos a crear tres ambientes de prueba para los antivirus: ejecutaremos un programa seguro, un malware y un programa desconocido y analizaremos los resultados.
Programa Seguro
Si tomamos un programa seguro y lo escaneamos con un antivirus tradicional, el antivirus lo busca en su “blacklist”, al no encontrar este programa, el mismo puede ser ejecutado sin problemas.
Programa malicioso
Si tomamos un malware, el cual nuestro antivirus conoce o en otras palabras, que el antivirus tiene su perfil en el “blacklist” y lo escaneamos, el antivirus lo busca en el “blacklist” y encuentra ese programa, lo detecta y evita que el programa se ejecute.
Programa desconocido
En este caso, ejecutamos un programa que el antivirus no reconoce ya que no tiene un perfil en el “blacklist” y tampoco sabemos si el programa es seguro o no. Si escaneamos este programa, el antivirus busca el perfil en el “blacklist” y no lo encuentra y en este caso sucede lo mismo que en el caso de un programa seguro; el antivirus permite que el programa se ejecute sin detenerlo.
¿Qué era ese programa que acabos de ejecutar?
El programa desconocido que ejecutamos puede ser malicioso o no, así que la arquitectura de los antivirus tradicionales de “blacklisting” permite que programas potencialmente dañinos se ejecuten en la computadora. Estos programas se conocen como PMA (“Potentially malicious applications”). Los PMAs son programas que no son detectados por los antivirus como malware y el usuario no conoce si el programa es malicioso o no.
Los autores de malware, antes de liberar sus creaciones al internet, se aseguran de que los antivirus tradicionales no puedan reconocer su creación. De esta manera se aseguran de que el malware que escribieron pueda hacer daño. Este nuevo malware se convierte automáticamente en un programa desconocido ya que ningún antivirus tradicional lo detecta y los usuarios no saben si es o no malware.
Actualmente si cuentas con un antivirus tradicional para “proteger” tu computadora, lamentablemente estas creando un ambiente donde todo tipo de programa puede ejecutarse. Piensa en tu antivirus como un colador donde lo único que queda atrapado es lo que el antivirus encuentra en su “blacklist” y lo demás pasa a tu computadora sin ser reconocido como PMA o como un programa seguro.
Llevamos más de quince años confiando en este tipo de tecnología de los '80 que se creó para limpiar y remover malware y no para prevenir una infección o ataque. Todavía hoy en el 2010 tenemos computadoras que solo cuentan con un antivirus como mecanismo de defensa sin saber que existen cientos de ataques que un antivirus tradicional no puede detectar.
¿Cuál es la alternativa al antivirus tradicional?
No se trata de reemplazar al antivirus, pues es parte esencial de las tres líneas de defensa que debes tener en tu computadora: Prevención, detección y cura. Pero la verdad es que un antivirus solo no previene que tu computadora se infecte. A diferencia del “blacklisting” que utilizan los antivirus, nuevas tecnologías implementan “whitelisting”, creando un ambiente ideal en tu computadora, permitiendo la entrada solamente a programas seguros y reconocidos. Este tipo de tecnología no detiene solamente a los programas maliciosos, también se encargan de crear un ambiente totalmente aislado para ejecutar programas desconocidos. Veamos un ejemplo de un ambiente ideal:
COMODO Internet Security 4.0 (www.comodo.com)
Este “suite” de seguridad brinda la protección que necesitas al precio que todos queremos: $0. CIS (COMODO Internet Security) se compone de un “Network Firewall”, un motor de “HIPS”, un Antivirus tradicional con “Heuristics”, un “Memory Firewall” y un “Sandbox”. Todos estos modulos crean un ambiente de “default deny protection”(DDP), lo que significa que solamente programas conocidos pueden ejecutarse en tu computadora. El modulo de “HIPS” utiliza “whitelisting” para filtrar programas conocidos y malware. El antivirus se encarga de detectar malware que exista en el “blacklist”, pero antes del antivirus, el mismo modulo de “HIPS” monitorea áreas especificas del sistema operativo (Windows), para detectar cualquier malware que el antivirus no pueda reconocer. Pero mejor aún, combinado al “HIPS” y trabajando de la mano, el “Sandbox” de CIS se encarga de aislar todo programa que no exista en el “whitelist” del “HIPS”, lo que a su vez también aísla malware que no exista en el “blacklist” del antivirus. Estos programas aislados, son automáticamente enviados a los servidores de COMODO, los cuales son analizados por expertos que identifican si el programa es malware o no. Luego, COMODO libera una actualización a CIS que se encarga de añadir ese programa al “whitelist” o al “blacklist” de acuerdo a lo que los expertos encuentren. Estas actualizaciones ocurren cada hora y cientos de archivos son evaluados diariamente.
Como podemos ver, este tipo de ambiente de DDP (“default deny protection”), se encarga de que solamente programas seguros y conocidos se puedan ejecutar en tu computadora los programas desconocidos son ejecutados en un ambiente aislado (“Sandbox”), en el cual no pueden hacer daño a tu computadora. Si comparamos este tipo de protección con la “protección” que te brinda un antivirus tradicional, podemos notar la gran diferencia que existe.
Al momento de seleccionar un programa de seguridad para tu computadora
Debes asegurarte primero de no pagar solamente por un antivirus. Todas estas compañías de seguridad como Symantec, McAfee, Panda, Trend, etc., venden sus antivirus como programas individuales y tienen también lo que se conoce como “Internet Security Suites”. Estos “suites” normalmente se componen de antivirus, “email scanners”, “Network Firewalls” y herramientas para mejorar el rendimiento de tu computadora. Vamos a tomar como ejemplo McAfee, si visitas su “web site” (http://home.mcafee.com/Store/Store7.aspx?cid=60460), puedes ver que tienen varios productos a diferentes precios, comenzando con McAfee Antivirus Plus, McAfee Internet Security y McAfee Total Protection. Si decides comprar McAfee, asegúrate de comprar el Intermet Security o el Total Protection.
Igual que McAfee, Symantec tiene el Norton Antivirus solo, tiene Norton Internet Security, Norton 360 y Norton 360 Premier edition. Si decides que quieres usar Norton, te recomiendo el Norton 360 Premier edition. Si notas, de los dos productos el más caro aparentemente es el que mejor protección brinda. Si la preocupación es de presupuesto, no debes sacrificar seguridad por no poder comprar un “suite” de estas compañías reconocidas. Mas adelante presento alternativas libre de costo que reemplazan estos “suites” de seguridad.
Al seleccionar un programa de seguridad para tu computadora debes asegurarte de adquirir un producto que no sea solamente un antivirus y que brinde mejor seguridad implementando tecnologías modernas como “HIPS”, “Sandbox” o “Behavior Blokers”. Un “Network Firewall” tambien es esencial para prevenir infecciones y ataques de “hackers”.
Como he mencionado anteriormente, COMODO Internet Security se compone de un “Network Firewall”, Antivirus con “Heuristics”, HIPS y “Behavior Blocker”, “Memory Firewall” y “Sandbox”, todo bajo la metodología de “Default Deny Protection”(DDP), que solamente permite acceso a tu computadora a programas seguros y conocidos, previniendo que se ejecuten programas no deseados. Todo esto, totalmente gratis.
Al igual que otras compañías de antivirus, COMODO tiene una versión pagada de su producto, pero a diferencia de estas otras compañías, los productos no varían. La única diferencia entre COMODO Internet Security Free y COMODO Internet Security Pro, es el servicio personalizado que te ofrece COMODO y el servicio de limpieza remoto que también ofrecen.
La seguridad debe ser un derecho y no un privilegio, por eso, al momento de elegir un producto para proteger mi computadora, COMODO Internet Security es mi mejor opción y las alternativas libres de costo brindan igual o mejor seguridad que los “suites” pagados si se combinan en líneas de defensa como prevención, detección y cura.
Alternativas libres de costo.
A continuación, he preparado un listado de varias aplicaciones que puedes seleccionar para proteger tu computadora libre de costo. Estas aplicaciones no son “suites” completos y se deben instalar como complemento al antivirus tradicional. Recuerda que se trata de crear varias líneas de defensa, con estas sugerencias tendrás antivirus, “HIPS” o “Behavior Analysis”, “Sandbox” y “Network Firewall”.
1. COMODO Internet Security Free (www.comodo.com) – Antivirus con “Heuristics”, “Network Firewall”, “HIPS”, “Sandbox”, “Memory Firewall”.
2. Avast 5 Free (http://www.avast.com/es-ww/comparison-chart#tab3), Sandboxie (www.sandboxie.com), PCTools Firewall free (www.pctools.com/firewall) - Avast es un antivirus libre de costo con “Heuristics”. Sandboxie utiliza la tecnología de “Sandbox” para aislar aplicaciones maliciosas y desconocidas y evitar que dañen tu computadora. PCTools Firewall es un “Network Firewall” que previene ataques de “hackers” y malware que intente entrar a tu computadora.
3. Avira AntiVir Free (www.free-av.com), ThreatFire (www.threatfire.com), PCTools Firewall Free (www.pctools.com/firewall) – Avira Antivir es uno de los mejores antivirus tradicionales en el mercado. Su listado de malware es extenso y su motor de “heuristics” es muy bueno. ThreatFire es un “Behavior Blocker” que no necesita listados de malware para proteger tu computadora y puede prevenir infecciones de malware que el antivirus no reconozca.
4. Geswall Free (http://www.gentlesecurity.com/desktop.html) – “Behavior Blocker”. Esta aplicación complementa al antivirus, detectando malware que el antivirus no reconoce y previniendo que aplicaciones se conecten al internet sin el consentimiento del usuario.
5. DriveSentry (www.drivesentry.com) – Este programa utiliza líneas de defensa para prevenir ataques. Primero utiliza “blacklisting” para detectar malware, “whitelisting” para identificar aplicaciones seguras y conocidas y “Behavior Blocker” para identificar malware que los antivirus no detectan.
6. Sandboxie (www.sandboxie.com) – Este programa utiliza la tecnología de “sandboxing” para aislar aplicaciones en la computadora, ayudando a prevenir que esta se infecte y mejorando la privacidad ya que los navegadores de internet (Internet Explorer, Firefox, Chrome, etc.) quedan aislados y el historial y los “cookies” se almacenan en el área designada para ellos, borrándose de la computadora evitando que “hackers” o malware los utilicen para hacer daño.
7. Online Armor Free (http://www.online-armor.com) – “Network Firewall”.
No hay comentarios:
Publicar un comentario