Las maravillas de la lista blanca a diferencia de las listas negras

Como todo el mundo sabe, la protección de malware se basa en la detección de firmas digitales. Sin embargo, la detección de software malicioso es solo una cara de la

Como todo el mundo sabe, la protección de malware se basa en la detección de firmas digitales. Sin embargo, la detección de software malicioso es solo una cara de la moneda de los antivirus. De hecho, algunos dirían que la detección de firmas digitales (un tipo de lista negra), es la cara menos importante de la moneda. Por otro lado está la lista blanca, o la pre-aprobación de software inofensivo, a diferencia del bloqueo de software dañino.

listas

¿Qué es la lista negra?

Permíteme explicarte esto a través del prisma de la tecnología específica Kaspersky: La Red de Kaspersky Security. Cuando los usuarios instalan ciertos productos de Kaspersky Lab, se les ofrece la oportunidad de unirse a la Red de Kaspersky Security. Al aceptar, se vuelven parte de la infraestructura distribuida dedicada a procesar información relacionada con la seguridad cibernética. Si un usuario involucrado de la India es infectado con un nuevo tipo de malware, Kaspersky Lab crea una firma digital para detectar el malware y luego se añade esa firma a la base de datos para que ningún otro usuario de Kaspersky se pueda infectar con ese malware.

Así es como funciona la lista negra. Creamos listas de cosas dañinas y las mantenemos alejadas de tu ordenador. La lista negra funcionaba perfectamente con un 99,9% de efectividad, cuando surgían 10.000 nuevas familias maliciosas al año, pero ese 99,9% deja de ser efectivo cuando hay 10 millones de nuevas familias de malware al año.

¿Qué es la lista blanca?

Otra vez utilizaré la tecnología y terminología de Kaspersky como metáfora para explicar cómo funciona la lista blanca. En este caso, estamos hablando de algo que Kaspersky llama “Denegación por defecto”. Bajo este principio, un producto de seguridad bloquearía todas las aplicaciones y software por defecto, a menos que estuviera explícitamente admitido. De este modo, tienes una lista blanca de aplicaciones pre-aprobadas.

El problema es que este tipo de lista blanca denegada por defecto, es principalmente utilizada en ambientes corporativos donde la autoridad central puede presentar más control sobre los usuarios necesitados. Es relativamente fácil decir que ciertas aplicaciones son necesarias para trabajar e ignorar todas las demás. Además, en el ambiente empresarial, la lista de aplicaciones aprobadas es probable que sea invariable. A nivel de consumidor, hay más inconvenientes, lo cual hace más difícil saber exactamente lo que el consumidor necesita en un momento específico.

Denegación por defecto vía Aplicaciones de Confianza

Por supuesto, nuestros amigos investigadores de Kaspersky Lab han encontrado la manera de aplicar el método de denegación por defecto a los consumidores con la tecnología llamada “Aplicaciones de Confianza”. Básicamente, las aplicaciones de confianza representan una lista blanca actualizada, basada en un conjunto de criterios de confianza contra una variedad de datos adquiridos de la Red de Kaspersky Security.

En otras palabras, nuestra dinámica lista blanca preparada para el consumidor es una base de conocimientos constantemente actualizados sobre aplicaciones existentes. La base de datos contiene información sobre un millón de archivos únicos, cubriendo la mayoría de aplicaciones, como los paquetes de office, navegadores, visualizadores de imágenes y todas las que te puedas imaginar.

Las aplicaciones de confianza representan una lista blanca actualizada, basada en un conjunto de criterios de confianza contra una variedad de datos adquiridos de la Red de Kaspersky Security.

Con la participación de casi 450 compañeros, principalmente organizaciones que desarrollan software, la base de datos disminuye incidentes de falsos positivos por conocer el contenido de actualizaciones implementadas del proveedor, antes de que sucedan.

La Cadena de Confianza

¿Qué hay de las aplicaciones que aún no conocemos? Ciertas aplicaciones y procesos generan nuevas aplicaciones y sería imposible para nuestra lista blanca tener el conocimiento de estos programas. Por ejemplo, para poder descargar una actualización, el programa tendría que introducir un módulo especializado, el cual se conecta al servidor del proveedor de software y se descarga la nueva versión del programa. De hecho, el módulo de actualización es una nueva aplicación creada por el programa original y tal vez no haya información sobre esto en la base de datos de la lista blanca. Sin embargo, ya que esta aplicación ha sido creada y lanzada por un programa de confianza, se considera confiable. Este mecanismo es llamado “Cadena de Confianza”

Igualmente, si una nueva actualización se descarga automáticamente y es diferente a la antigua aplicación de alguna forma que la lista blanca no reconozca, puede ser aprobada por medios secundarios, como verificación de firma digital o certificado. Se crea un tercer respaldo si una aplicación cambia inesperadamente y no tiene firma. En este caso, la cadena de confianza puede operar la descarga del dominio, que generalmente pertenece al proveedor del software. Si se confía en un dominio, también lo hace la nueva aplicación. Si un dominio es utilizado para distribuir malware, éste es eliminado de la cadena de confianza.

Lo último pero no menos importante

Como bien sabes, los atacantes están de moda para los que nos dedicamos a la protección. Por una parte, es por eso que se encuentran vulnerabilidades en programas populares de los que se aprovechan para evadir las protecciones antes mencionadas con actos maliciosos originados desde programas confiables.

Para combatir eso, nuestros investigadores han desarrollado un sistema conocido como “Security Corridor”. Esta herramienta complementa nuestra lista blanca, asegurando que softwares y aplicaciones aprobadas desempeñen solo las acciones que deben.

“Por ejemplo, la lógica del funcionamiento de un navegador es mostrar páginas web y descargar archivos”, explicó Andrey Ladikov, del equipo de investigación de infraestructura y lista blanca de Kaspersky Lab. El acto de cambiar archivos del sistema o sectores de disco es totalmente ajeno al navegador. El editor de texto está diseñado para abrir y guardar documentos en el disco, pero no para guardar nuevas aplicaciones en el disco y luego lanzarlas”. Por eso, si tu aplicación de dibujo favorita empieza a usar tu micrófono, esta aplicación será marcada.

¿Qué ordenadores están reforzados?

La tecnología de listas blancas no está disponible para todos. Solo los usuarios de Kaspersky Internet Security, Kaspersky Internet Security Multi-Device y Kaspersky Pure, gozan de este nivel de protección.

Lectura Adicional

Nuestros amigos investigadores han escrito no uno, ni dos, sino 3 artículos técnicos sobre la ciencia de la lista blanca. Sigue estos enlaces si estás interesado en conocer más al respecto.

Consejos