Por qué un cortafuegos personal ¿nunca? es efectivo contra el malware

De -
El cortafuegos personal es una de las medidas "estrella" recomendada
desde hace muchos años para luchar contra todo tipo de males. La inercia
de la recomendación ha seguido hasta nuestros días, donde un cortafuegos
entrante tradicional, poco o nada puede hacer contra muchos de los
ataques más sofisticados que se sufren hoy en día. Veamos por qué.

Instalar un cortafuegos personal era imprescindible hace diez años. Los
sistemas operativos (por llamarlos de alguna forma) Windows 9X estaban
conectados directamente a la red, con IP pública a través de módem. No
contar con un firewall constituía un suicidio tecnológico. Después de
Sasser y Blaster, XP SP2 se instauró con cortafuegos entrante integrado
y activo. Las reglas del juego cambiaron por completo, pero parece que
pocos se acordaron de actualizar las instrucciones. Los atacantes se
adaptaron rápido, las víctimas... todavía no.

El cortafuegos entrante

Hoy en día un cortafuegos entrante no es útil contra el malware, han
aprendido a sortearlo y es complicado encontrar troyanos "clásicos" que
abran puertos en el sistema. Además, aunque lo consiguieran, no sería
efectiva esta técnica: hoy también es mucho más habitual conectarse a la
red de forma indirecta, anteponiendo un router. Estos routers suelen
disponer de cortafuegos que protege del exterior y, aunque no lo
tuvieran, un atacante tendría que realizar una traducción a direcciones
y puertos internos para llegar al sistema que quiere atacar. Por tanto,
el cortafuegos entrante en el sistema no está diseñado contra el malware
de hoy. Sería una herramienta más útil contra otro tipo de ataques.

El cortafuegos saliente

¿Qué es efectivo entonces? El cortafuegos saliente. Ese que introdujo
Vista en 2006... desactivado por defecto y por tanto, con nulo impacto
real en la Red. Su ventaja es que detendría a una buena parte (me
atrevería a decir que la inmensa mayoría) de los troyanos actuales, que
depende de infraestructuras externas para salir a Internet e infectar el
sistema.

Su problema es que si bien no todas las aplicaciones legítimas reciben
conexiones procedentes del exterior (no tienen que ser revisadas por el
cortafuegos entrante), sí que casi todas hoy en día se comunican con el
exterior, y tendrían por tanto que estar contempladas como excepción en
el cortafuegos saliente. Es una tarea compleja, pero teniendo en cuenta
lo bien que se las ha apañado Windows con Vista y 7 para diseñar un
cortafuegos entrante que no "estorba" y es efectivo, sospecho que en el
futuro podría tenerlo activo por defecto si trabajan ciertos aspectos.

Por ejemplo, podrían añadir ciertas funciones para hacer más cómodo un
cortafuegos saliente. Estas son algunas ideas:

* Que sólo las aplicaciones firmadas pudieran salir sin problema a
Internet. Las no firmadas, pedirían confirmación.

* Que sólo las aplicaciones alojadas en ciertas rutas (en las que el
usuario no tiene permiso de escritura como tal, sólo como administrador)
pudieran salir sin problemas.

* Función para bloquear aplicaciones por hash,

* Función para bloquear aplicaciones según el lugar de donde proviene
(descargada desde alguna zona concreta de Internet Explorer...)

¿Filosofía AppLocker aplicada al cortafuegos?

Escribiendo estas recomendaciones, descubrimos rápidamente que en
realidad son las mismas funciones y condiciones con las que permite
jugar AppLocker y SRP (Software Restriction Policy), una tecnología ya
activa desde hace años en Windows para bloquear la ejecución de
programas bajo ciertas circunstancias. La idea para implementar un
cortafuegos saliente efectivo sería trasladar este concepto a la
"conexión", en vez de a la "ejecución".

Por supuesto que esto tendría problemas. Por ejemplo AppLocker y SRP son
eludibles de diferentes maneras. Por supuesto que, aun con todas las
barreras activas, un troyano puede inyectarse en el espacio de memoria
de un proceso existente en el sistema y salir a Internet camuflado. O
peor aún, alcanzar el ring0 y modificar el comportamiento de sistema
donde ninguna regla tendría ya valor. Esto se sabe desde hace tiempo y
es una técnica usada por troyanos sofisticados. Pero si al menos se
implementara algo así, se estaría elevando un listón que, en este
sentido, ahora mismo está abandonado en el suelo mientras el malware
campa a sus anchas.

Comentarios

Publicar un comentario

Entradas populares de este blog

Corcho Pedagogico

De -
Imagen
Un Supervisor visitó una escuela primaria.        En su recorrida observó algo que le llamó la atención: una maestra estaba atrincherada atrás de su escritorio,los alumnos hacían un gran desorden; el cuadro era caótico.         Decidió presentarse:"Permiso, soy el Supervisor... ¿Algún problema?"         "Estoy abrumada señor, no sé qué hacer con estos chicos... No tengo láminas, no tengo libros, el ministerio no me manda material didáctico, no tengo recursos electrónicos, no tengo nada nuevo que mostrarles ni qué decirles..."          El inspector que era un "Docente de Alma", vio un corcho en el desordenado escritorio, lo tomó y con aplomo se dirigió a los chicos:          ¿Qué es esto? “Un corcho señor "....gritaron los alumnos sorprendidos.         "Bien, ¿De dónde sale el corcho?".         "De la botella señor. Lo coloca una máquina...", "del alcornoque... de un árbol"... "de la madera...",respondían a
Leer más

Significado oculto en los nombres de los programas

De -
Los números de versión son, en ocasiones, todo un enigma. Por lo general, nos dicen de dónde viene un programa y cuánto camino ha recorrido, siguiendo una notación más o menos estándar que refleja las  fases de desarrollo  de un programa. Sin embargo, nosotros creemos que el nombre y la versión de un programa puede decir mucho más. Es por ello que nuestro grupo de expertos lingüistas han interpretado  qué quieren decirnos los programadores con los términos más comunes . Son los siguientes: Alpha Tenía una idea interesante, pero me da pereza desarrollarla Beta Si tiene errores nadie podrá culparme de ello RC El jefe nos amenaza con la carta de despido si no lo terminamos ya RTM Igual a la version final, pero queremos que nuestros clientes se sientan especiales Stable No explota, pero está obsoleta. Unstable Contiene las novedades interesantes, si es que funcionan Build xx Yo compilo mis programas, ¿te enteras? 0.xx Me da vergüenza llamar programa a est
Leer más

El Bidet

De -
Imagen
En un chat multitudinario con amigos surgió un tema interesante: ¿Cómo usás el bidet? No "para qué", eso es sabido; sino, ¿cómo te sentás? La mayoría lo usábamos igual, sentados de espaldas a la pared, manejando las canillas al tacto; pero uno viene con una teoría irrefutable: "El bidet debe usarse de frente a la pared porque el cosito por el que sale el agua te queda justo en el hoyo, podés ver las canillas, la jabonera y la toalla". Tiene lógica, pienso. Cuando me toque, voy a probar. A la mañana siguiente, me tomo mi café... efecto instantáneo. Abrigadito con mi bata me juego un jueguito en el celu mientras hago lo que tengo que hacer en el inodoro. Termino. Hora del buche. Me acuclillo apenas y pivoteo en un pie dando medio giro, casi como en una coreografía de Ginger Rogers; y estaciono en una maniobra sobre el bidet, de frente a la pared. ¡Genial! Puedo acceder a las canillas,   mezclo la caliente con la fría hasta lograr la tibieza justa, manejo la presión
Leer más