Una carrera contra los spammers

Hace unos días se publicaron los últimos resultados de VBSpam. En las pruebas, realizadas por Virus Bulletin en agosto, Kaspersky Linux Mail Security 8.0 detectó el 99,93% de todos los mensajes spam que se usaron para la prueba. Este es un nuevo récord para Kaspersky, del cual nos sentimos muy orgullosos (según los numerosos mensajes de felicitación que circulan entre nosotros). Eugene Kaspersky también mencionó el resultado en su blog, y está muy orgulloso de nosotros 🙂

Este elevado índice de detección tampoco afectó a la calidad de la detección; se registró un solo falso positivo de los más de 10.000 mensajes que constituyen la colección de mensajes legítimos que utilizó VB para la prueba.
Aunque estamos muy contentos por este excelente resultado, nosotros ya lo esperábamos: KLMS 8.0 es un agregado de todas las nuevas tecnologías y características que Kaspersky Lab ha venido desarrollando últimamente. Todas estas nuevas características y tecnologías están diseñadas para ayudar a nuestra solución antispam a detectar spam de forma más rápida.

Hace aproximadamente un año, los spammers comenzaron a usar de forma activa una técnica que ya se había probado. En una carrera para ponerse por delante de los analistas de spam y de las actualizaciones de las bases de datos antispam, comenzaron a enviar millones de mensajes a sus listas de direcciones en lapsos muy cortos, desde varios minutos hasta media hora. Como resultado, una parte de los envíos de spam llegó a las bandejas de entrada de los usuarios antes de que las soluciones de seguridad recibieran las respectivas actualizaciones y comenzaran a bloquearlos. Estos rápidos envíos spam han sido hasta hace poco el principal problema para las soluciones antispam.

En respuesta a esto, Kaspersky Lab desarrolló las nuevas tecnologías que serían parte de KLMS. En realidad, la respuesta de Kaspersky Lab tuvo tres componentes.

A principios de 2012, se puso a disposición de nuestros usuarios nuestra tecnología de actualizaciones obligatorias de la base de datos antivirus en tiempo real. Esta tecnología hizo que la distribución de las actualizaciones más críticas del producto fuera mucho más rápida. En nuestro laboratorio antispam (Spam Lab), la llamamos Mobius; en el producto se llama Enforced Anti-Spam Update Service. Con esta tecnología, la creación de un registro antispam en el laboratorio antispam y su distribución necesita menos de un minuto.

El servidor back-end Mobius recibe las signaturas de imagen y texto del laboratorio antispam tan pronto como los analistas las añaden a las bases de datos. Estas signaturas son las más críticas en términos de tiempo de distribución; nuestro nuevo servicio trabaja con estas signaturas. En esta etapa, las bases de datos se comprueban automáticamente a fin de detectar cualquier error. Una vez comprobada, se distribuye la actualización al front-end. El front-end envía inmediatamente la actualización al cliente Mobius y al producto, mediante la conexión TCP que se mantiene de forma constante entre ambos componentes.

Entonces, las actualizaciones se distribuyen prácticamente en cuanto se envían los mensajes spam. ¿Recuerdas la historia de la tortuga y la liebre? En lugar de tratar de competir contra la liebre, la astuta tortuga busca la ayuda de un amigo. Una tortuga se colocó en la salida y la otra en la llegada. Mientras tanto, la tonta liebre corría entre ellas. Obviamente, Mobius le dio buenos motores a nuestra “tortuga”; sin embargo, incluso antes de que el Enforced Anti-Spam Update Service estuviera disponible, surgió la idea de que no era necesario tratar de mantenerse a la par de la liebre, sino simplemente quedarse entre los arbustos (en la nube, en el caso nuestro) y esperar su llegada.

Esta idea se implementó en el sistema UDS (Urgent Detection System) y, con el tiempo, evolucionó en UDS 2. UDS 2 es un sistema de seguridad en la nube que proporciona una comunicación de ida y vuelta entre los usuarios de Kaspersky Lab y sus expertos. Cuando se procesa un mensaje spam, al mismo tiempo que la signatura se añade a la base de datos, se calcula el valor hash para el mensaje y se lo coloca en la nube. Antes usábamos borrosos hashes de 16-bytes; cuando lanzamos UDS2, comenzamos a usar shingles (microsignaturas) de 4-bytes. Los shingles funcionan de forma mucho más efectiva cuando se trata de basura que se agrega al texto y cuando los fragmentos de texto se intercambian dentro de los mensajes spam. En cuanto al usuario, los shingles también se crean para mensajes sospechosos y se envían a la misma nube; las microsignaturas que se crearon en el laboratorio antispam en base a los mensajes spam ya se encuentran disponibles en la nube. Las signaturas que envían los usuarios se comparan con las almacenadas en la nube.

La primera generación del sistema UDS se limitaba a responder a las peticiones, existiese o no una determinada signatura en la base de datos. UDS2 agrupa las signaturas según sus similitudes, y la tecnología Content Reputation, que se basa en UDS2, calcula su reputación de spam. La primera versión de esta tecnología se llama Content Reputation v1 (Rescan); básicamente, es una cuarentena que retiene por algún tiempo (50 minutos por ahora) los mensajes que no se reconocen como spam, pero que se consideran sospechosos ya que las signaturas que crean coinciden con los clústeres con alta reputación de spam.

Por lo general, estos mensajes no son numerosos: la mayor parte del tráfico de correo se detecta como spam o como legítimo. El retraso de 50 minutos les da a los analistas del laboratorio antispam el tiempo necesario para tomar una decisión final sobre la legitimidad de los mensajes sospechosos. Por lo tanto, no sólo nos anticipamos a la distribución de spam, sino que también la retrasamos.

Autoblock es otra tecnología que se basa en UDS 2. Si la signatura de un mensaje llega a un clúster con una alta reputación de spam, se lo bloquea automáticamente en la nube. Con esta tecnología, un analista puede revisar más tarde un mensaje bloqueado; y si no se lo identifica como spam, se revierte el bloqueo automáticamente.

Entonces, en la siguiente etapa de la carrera tendremos todas las posibilidades de superar a nuestros oponentes.