jueves, 21 de mayo de 2009

Antivirus 2.0

El esquema de firmas obedece ya a la era de los antiguos antivirus 1.0, dicho esquema es una manera de funcionar que ya no está acorde a las exigencias impuestas por los atacantes del día de hoy. La cantidad de malware que aparece cada día hace que hacer firmas para controlarlo sea ya algo ineficiente. Por ahí hay ya iniciativas que parecen indicar que algunos de los fabricantes de antivirus desean orientarse hacia una nueva ruta de prevención o al menos hacia una respuesta mucho más rápida.

La famosa lista negra (firmas) es principalmente la manera como los antivirus manejan al código malicioso y el esquema en general puede ser descrito como: aparece un malware, en algún momento los fabricantes se dan cuenta del mal, lo analizan y crean una firma que posteriormente es liberada. Los antivirus reciben la firma y pueden ya reconocer al mal programa. Hay un gap entre el tiempo en que se libera el código malicioso en Internet y el tiempo en que llega la firma correspondiente. Y si por alguna razón el antivirus no se actualiza en un par de días o semanas, el esquema simplemente es vencido por los códigos maliciosos. Hoy en día inclusive algunas horas de des-actualización deberían de ser ya preocupantes.

Corremos con suerte si el malware es genérico y una firma logra identificarlo (esto sucede con las variantes de un mismo código). Por otro lado, la famosa “heurística” usada por algunos antivirus que trata de reconocer virus o troyanos sin contar con la firma no es algo que en mi opinión realmente sirva en la práctica por la manera en que ha sido implementada, sobre todo en un ambiente corporativo.

Simplemente, los antivirus necesitan dar el siguiente paso, por ahí leí que se estima que en el 2015 (de seguir la actual tendencia y que todo parece indicar que así seguirá), se podrían estar generando alrededor de 26,000 códigos maliciosos por hora. ¿Cómo aguantar el paso? La respuesta: evolución/innovación. Pasar de depender de las firmas, a un esquema donde las firmas sean simplemente apoyo de otras tecnologías.

Sólo por poner un ejemplo, actualmente la gran –gran- mayoría del malware opera infectando y comunicándose al exterior (Internet) para recibir más malware, instrucciones o actualizaciones; también se comunican para enviar la información robada. Es un patrón que pueden aprovechar los antivirus para identificar a los malos programas. La modificación de ciertas llaves del registro de Windows es otro patrón, ya que en general son sólo un grupo de llaves que se están modificando. Y el mejor esquema que puede ser incorporado: las listas blancas, que es lo que hace un firewall personal. 

En conclusión, ya necesitamos lo que yo llamo “antivirus 2.0” (retomando obviamente la idea del Web 2.0). No quisiera decir marcas, pero por ahí ya hay un antivirus con forma de oso que está promocionando su “cloud antivirus”, o también está la compra reciente por parte de una marca de antivirus de Solidcore, una tecnología de listas blancas (permitir lo conocido, tipo firewall personal). Esta es una tendencia que yo veo, donde de alguna forma u otra, el esquema de firmas está ya entrando a la prehistoria. ¿Por qué tardaron tanto?