- Introducción
- Activación del modo “Aplicaciones de Confianza”
- Activación manual del modo “Aplicaciones de Confianza”
- Implementación de los mecanismos de conservación del entorno fiable
- Conclusión
Introducción
En la anterior parte del artículo analizamos el desarrollo de la tecnología Default Deny, el concepto de un entorno fiable que permita pasar del bloqueo de ejecución de objetos desconocidos a la formación de un sistema fiable para después mantenerlo en un estado de fiabilidad, un estado que garantice la ausencia de códigos maliciosos en el sistema.
En este artículo escribiremos sobre la implementación del entorno fiable como uno de los componentes de defensa en los productos de Kaspersky Lab. El primer producto que cuenta con este componente de defensa es Kaspersky Internet Security 2014 y la implementación recibió el nombre de “Aplicaciones de Confianza”.
Activación del modo “Aplicaciones de Confianza”
En el producto Kaspersky Internet Security 2014 el modo “Aplicaciones de Confianza” se activa de forma automática. Pero la activación de este modo requiere una preparación preliminar del equipo.
Como hemos dicho, la funcionalidad del modo “Aplicaciones de Confianza” se basa en el bloqueo de aplicaciones, bibliotecas dinámicas y scripts desconocidos. Pero ¿qué ocurre si el modo “Aplicaciones de Confianza” se activa justo después de instalarse el antivirus y en el equipo del usuario hay varias aplicaciones desconocidas? Según la lógica del modo “Aplicaciones de Confianza” estas aplicaciones, bibliotecas dinámicas y scripts serán bloqueados. Pero el usuario puede necesitar estas aplicaciones y si se las bloquea, quedará sin la posibilidad de ejecutar en su equipo las acciones a las que está acostumbrado. Por eso, antes de activar el modo “Aplicaciones de Confianza”, el antivirus verifica si su activación en un equipo dado no provoca el bloqueo de los programas con los que trabaja el usuario.
La verificación de la compatibilidad del equipo con el modo “Aplicaciones de Confianza” se lleva a cabo en varias etapas usando un régimen intelectual especial. Analicemos estas etapas con más detalle.
Primera etapa. Verificación de las aplicaciones ejecutadas
En la primera etapa, durante varias semanas, se realiza el análisis de los programas ejecutados por el usuario. Cada una de las aplicaciones o scripts ejecutados se revisa según el siguiente escenario:
- ¿Tiene la aplicación firma digital y es esta fiable?
- Si la aplicación no cuenta con firma digital, se revisa la información sobre su fiabilidad en la base de conocimientos de Kaspersky Lab disponible en Kaspersky Security Network (KSN).
Mientras esto sucede, no se bloquea ninguna aplicación desconocida, sino que el antivirus va almacenando información sobre si la aplicación es fiable o no, y por lo tanto, si se la podrá ejecutar si se activa el modo “Aplicaciones de Confianza” en el equipo.
Como ya hemos dicho, para cerciorarse si un fichero o certificado es fiable, se usa la base de conocimientos de programas fiables en KSN. Por esto, participar en la red Kaspersky Security Network es una condición obligatoria para activar el modo “Aplicaciones de Confianza”. Sin esto, el antivirus no puede tomar decisiones garantizadas sobre si el fichero ejecutado es fiable o no.
Después de varias semanas de funcionamiento, el antivirus hace un conteo de la cantidad total de programas ejecutados en un equipo en concreto y la cantidad de programas que serán bloqueados en el modo “Aplicaciones de Confianza”. Si no se detectó programas que serán potencialmente bloqueados, empieza la segunda etapa de verificación de la aplicabilidad del modo de programas fiables en el equipo.
Pero aquí surge la pregunta ¿qué pasa si la cantidad de programas desconocidos (potencialmente bloqueables) no es igual a cero? En este caso el proceso de verificación de aplicaciones ejecutadas se seguirá realizando. Es posible que nuevos programas legítimos todavía no hayan ingresado a la base de conocimientos KSN y que la información sobre éstos aparezca en la base en breve. Pero no se excluye otra posibilidad: las aplicaciones ejecutadas desconocidas pueden ser nuevas modificaciones de virus o programas troyanos. En este caso el antivirus elimina el programa después de la actualización de las bases antivirus y también puede pasar a la segunda etapa del análisis.
Además de verificar las aplicaciones, se va creando un listado de las bibliotecas cargadas. Este listado se hace cada vez mayor con la ejecución de nuevas aplicaciones y se usa durante la etapa de verificación de las bibliotecas dinámicas cargadas.
Segunda etapa. Verificación de las bibliotecas dinámicas cargadas
Recordemos que en el modo “Aplicaciones de Confianza” no solo se bloquean las aplicaciones y scripts lanzados, sino también las bibliotecas dinámicas cargadas por las aplicaciones. Si se lanza una aplicación y al mismo tiempo se bloquea las bibliotecas que pretende cargar, ésta no podrá ejecutar algunas de sus funciones o dejará de funcionar del todo. Por esta razón, antes de activar el modo “Aplicaciones de Confianza” es importante comprobar que las bibliotecas cargadas durante su funcionamiento también son fiables.
En la segunda etapa se realiza la verificación de las bibliotecas de la lista de conformidad con el algoritmo descrito más arriba. Esta verificación ocurre poco a poco, en segundo plano. Las nuevas bibliotecas y aplicaciones lanzadas durante la segunda etapa de la verificación también se agregan a la lista y se verifican.
La etapa de verificación de las bibliotecas dinámicas cargadas termina cuando en la lista no queda ni una biblioteca sin verificar. Pero si se detectaron bibliotecas desconocidas, el proceso de verificación de éstas se vuelve a iniciar después de cierto tiempo. De la misma forma como sucede con las aplicaciones desconocidas, existen dos variantes de desarrollo de los acontecimientos:
- El fichero es una nueva versión de una biblioteca fiable y pronto será parte de la base de conocimientos KSN;
- El fichero es una nueva versión de un programa malicioso y será eliminado por el antivirus durante la siguiente actualización de la base antivirus.
Una vez concluida la segunda etapa, empieza la tercera, la más importante: la verificación de los ficheros del sistema.
Tercera etapa. Verificación de los ficheros del sistema
Para garantizar la seguridad, el modo “Aplicaciones de Confianza” empieza a funcionar de inmediato después de encendido el equipo y esto significa que si se hace algún intento de ejecutar un fichero del sistema desconocido, este será bloqueado y existirá el riesgo de que el sistema operativo funcione mal.
Para evitar esta situación, en la tercera etapa de preparación de la activación del modo “Aplicaciones de Confianza” se lleva a cabo la verificación de la fiabilidad de todos los ficheros del sistema que toman parte en el proceso de arranque y funcionamiento del sistema operativo. La tercera etapa, al igual que las dos anteriores, continua hasta que todos los ficheros del sistema se reconozcan como fiables o maliciosos.
Una vez concluida la tercera etapa, el antivirus decide que el modo “Aplicaciones de Confianza” es totalmente compatible con el equipo y su activación no impedirá las actividades cotidianas del usuario. A continuación, se le muestra al usuario el mensaje de que el equipo está funcionando en el modo “Aplicaciones de Confianza”. Se puede ver si el equipo ha pasado al modo “Aplicaciones de Confianza” en la ventana principal de Kaspersky Internet Security 2014, donde aparece un candado cerrado con el ordenador en segundo plano.
Desde este momento Kaspersky Internet Security empieza a usar un algoritmo completamente diferente: permite que sólo se ejecuten los objetos del listado de programas fiables. Los nuevos objetos que aparecen en el sistema se verifican para establecer su fiabilidad en el momento de su lanzamiento y si son fiables, se les permite ejecutarse. Si no son fiables, se bloquea la ejecución del fichero.
Activación manual del modo “Aplicaciones de Confianza”
El proceso de preparación para la activación del modo “Aplicaciones de Confianza” que acabamos de describir lleva bastante tiempo, porque el antivirus debe cerciorarse de que todos los ficheros del sistema son fiables y sólo entonces activar este modo. Este esquema es bueno para los usuarios domésticos. Pero ¿qué debe hacer un usuario experimentado que quiere usar el nuevo método de defensa inmediatamente después de instalar el antivirus? Para estos casos existe la posibilidad de activar manualmente el modo “Aplicaciones de Confianza” desde el menú de control de programas.
Incluso cuando el modo “Aplicaciones de Confianza” se activa de forma manual, el antivirus debe cerciorarse de que no interferirá con el trabajo del usuario. Por eso, inmediatamente después de pulsar el botón “Activar” empieza la verificación de la compatibilidad del equipo con el modo “Aplicaciones de Confianza”. Como el antivirus todavía no tiene información sobre los programas que ejecuta el usuario, las bibliotecas cargadas y los ficheros del sistema, la verificación transcurre en otro orden:
- Ficheros del sistema;
- Programas instalados en el sistema operativo;
- Otros ficheros que el usuario ya ha ejecutado anteriormente, por ejemplo, los ficheros lanzados desde los discos de red.
Una vez terminado el proceso de verificación (inventario), se le presenta al usuario la lista de programas que en ese momento dado son desconocidos y que serán bloqueados en el modo “Aplicaciones de Confianza”.
El régimen de activación manual es apropiado para usuarios experimentados, que pueden tomar decisiones equilibradas sobre varios ficheros desconocidos. Ellos deben permitir o bloquear la ejecución de estos ficheros. Para que le sea más fácil tomar decisiones acerca de ficheros relativamente desconocidos, Kaspersky Lab ofrece un servicio online que permite obtener información sobre cualquier fichero que se encuentre en la base de conocimientos de Kaspersky Lab. La base de conocimientos Kaspersky Security Network contiene la fecha de registro del fichero en la misma, datos sobre su firma digital, información sobre la fiabilidad del fichero, su fabricante, la cantidad de usuarios del fichero en el mundo y más información útil.
Si no se detectan ficheros desconocidos, se propone activar de inmediato el modo “Aplicaciones de Confianza”.
Después de activar el modo “Aplicaciones de Confianza”, el antivirus empieza a funcionar con los algoritmos del entorno seguro descrito en la primera parte de este artículo. Analicemos el funcionamiento de los algoritmos de Kaspersky Internet Security 2014.
Implementación de los mecanismos de conservación del entorno fiable
Como el entorno fiable ya está creado, el lanzamiento de aplicaciones que son parte del entorno seguro ocurre de una forma bastante sencilla: el antivirus sabe que este fichero es fiable y permite su lanzamiento. Si se lanza un nuevo fichero llegado desde fuera del entorno fiable, por ejemplo en una memoria extraíble, se lo analiza según el siguiente algoritmo:
- ¿cuenta el fichero con una firma digital?;
- ¿se lo ha descargado de un recurso fiable en Internet?;
- ¿tiene el fichero el status de fiable en la base de conocimiento de Kaspersky Security Network?
Si la respuesta a alguna de estas preguntas es positiva, se permite el lanzamiento del fichero, en caso contrario el lanzamiento será bloqueado y se le mostrará al usuario un mensaje sobre el bloqueo del lanzamiento de un objeto desconocido.
Pero si el fichero fue creado dentro del entorno fiable, se lo considera fiable por su característica principal: todas las aplicaciones creadas en el entorno fiable, si no han tenido contacto con el mundo exterior, se consideran fiables. Este escenario permite, sin obstáculos, realizar la actualización de los programas existentes en el sistema a nuevas versiones, y también instalar nuevos programas.
Pero es importante no olvidar la limitaciones impuestas a las aplicaciones vulnerables: una aplicación fiable vulnerable, como resultado de la activación de un exploit, puede crear programas maliciosos en el sistema. Para aumentar la seguridad y mantener el estado del entorno fiable, en Kaspersky Internet Security las aplicaciones fiables se dividen en tres categorías:
- aplicaciones fiables. Aplicaciones que funcionan usando las propiedades del entorno fiable;
- aplicaciones potencialmente vulnerables. Para cada una de estas aplicaciones se crea un perfil especial de actividades permitidas, limitadas por la lógica de negocios de la aplicación. El listado de programas potencialmente vulnerables ha sido elaborado por los expertos de Kaspersky Lab basándose en el análisis de la estadística de detección de vulnerabilidades en diferentes aplicaciones. Todos los objetos creados por estas aplicaciones se someten a un control adicional;
- aplicaciones que entran en contacto con el mundo exterior. Estas aplicaciones no están en el grupo de aplicaciones potencialmente vulnerables, pero entran en contacto con el mundo exterior y los delincuentes las pueden usar para ingresar en el sistema. Por ejemplo, un fichero que el usuario ha recibido mediante el servicio de envío de ficheros de Skype puede ser una versión nueva, todavía desconocida de un programa malicioso. Los objetos creados por estas aplicaciones en el sistema también se someten a un control adicional y se verifican de la misma forma que todas las aplicaciones creadas fuera de los límites del entorno fiable.
Con esto, el antivirus controla todos los objetos creados por las aplicaciones fiables de conformidad con la concepción de protección completa implementada en los productos de Kaspersky Internet Security, lo que permite ofrecer una defensa efectiva del equipo.
Los expertos de Kaspersky Lab han decidido no realizar la concepción del entorno fiable en forma de un medio aislado de defensa, porque consideran que es más efectivo integrarlo en los productos ya existentes de Kaspersky Lab. Para esto hay varios motivos serios: la existencia de exploits que ejecutan acciones maliciosas sin crear ficheros en el equipo, la difusión de macrovirus en los documentos de la oficina (estos ficheros no se pueden controlar en el modo Default Deny, ya que están en constante cambio) y el que los delincuentes cibernéticos usen software legítimo para ejecutar funciones maliciosas. Por ejemplo, basta cambiar ciertos parámetros en el fichero de configuración del software de registro de pulsaciones de teclas para convertirlo en un troyano-espía.
Este enfoque permite construir un sistema fiable y completo de protección de los equipos domésticos y la red corporativa en las pequeñas y medianas empresas.
Conclusión
La segunda parte del artículo se ha dedicado a la aplicación de la tecnología del entorno fiable en Kaspersky Internet Security 2014, un producto orientado a las necesidades de los usuarios domésticos. La implementación ha recibido el nombre de modo “Aplicaciones de Confianza”".
Hemos analizado dos diferentes métodos de activación del modo “Aplicaciones de Confianza”:
- La activación automática, cuando el antivirus decide activar el modo “Aplicaciones de Confianza” basándose en un algoritmo intelectual. Este método de activación es conveniente para los usuarios domésticos;
- La activación manual. Este método de activación permite crear un entorno fiable no sólo para un equipo aislado, sino también para una pequeña red, aumentando de este modo la protección de la información que circula en la misma.
Se han descrito los métodos de mantenimiento del entorno fiable que juegan un papel importante en la toma de decisiones sobre los nuevos programas que aparecen en el sistema, como también durante la actualización e instalación de nuevos programas. Los métodos descritos de control de aplicaciones vulnerables permiten controlar de forma efectiva las actividades anómalas de las aplicaciones vulnerables y tomar decisiones sobre la fiabilidad de los ficheros creados por las aplicaciones vulnerables.
La concepción del entorno fiable descrita y su implementación como modo “Aplicaciones de Confianza” en Kaspersky Internet Security 2014 son pasos importantes en la oferta de seguridad a los usuarios de ordenadores personales que aprecian sus recursos informáticos. La solución de protección completa creada por los expertos de Kaspersky Lab combina las virtudes del antivirus y del enfoque Default Deny y permite crear un entorno fiable, en el que las posibilidades de que los delincuentes ejecuten códigos maliciosos son prácticamente nulas.
Implementación de la tecnología del entorno fiable en Kaspersky Internet Security 2014