Una nueva herramienta bloquea aquellos archivos que intenten instalarse sin alertar al usuario.
Un grupo de investigadores en SRI International y Georgia Tech se está preparando para lanzar una herramienta gratuita que detenga las descargas “drive-by”: unos ataques de internet mediante los que el mero acto de visitar una página web resulta en la instalación subrepticia de software malicioso. La nueva herramienta, llamada BLADE (Block All Drive-By Download Exploits), detiene las descargas iniciadas sin el consentimiento del usuario.
“Cuando al navegador se le presenta un archivo ejecutable para su descarga, se supone que te tiene que preguntar qué hacer,” afirmó Phil Porras, director de programa de SRI. No obstante el software se puede introducir en el ordenador de un usuario sin que éste se dé cuenta ni se le pida permiso.
En el cuarto trimestre de 2009, alrededor de 5,5 millones de páginas web contenían software diseñado para iniciar instalaciones no solicitadas en sus visitantes, según señala Dasient, una firma que ayuda a proteger a las páginas web contra ataques de malware. Este tipo de descargas drive-by tienen como objetivo aquellos ordenadores que no poseen parches de seguridad al día contra vulnerabilidades comunes dentro de los navegadores web, u ordenadores a los que les falten las actualizaciones de seguridad para los plug-ins más importantes, tales como el Lector de PDF de Adobe y el Reproductor Flash. Los atacantes utilizan un tipo de software que sondea el navegador del visitante a la búsqueda de agujeros de seguridad conocidos.
El grupo de investigación ha estado poniendo BLADE a prueba desde enero, exponiendo unos cuantos escritorios virtuales equipados con el software ante nuevos sitios identificados cada día por los expertos en seguridad. Cada URL maliciosa es puesta a prueba frente a múltiples configuraciones de software, cubriendo distintas versiones del navegador y plug-ins más comunes.
Hasta ahora, y según afirmó Porras, BLADE ha bloqueado todos de los más de 5.150 programas maliciosos lanzados por 1.205 URLs de drive-by puestas a prueba. Durante dicho periodo de pruebas, el Lector PDF de Adobe fue, con gran diferencia, el plug-in de navegador más atacado, siendo el objetivo de más de la mitad de las aplicaciones lanzadas mediante ataques de drive-by. La plataforma Java de Sun Microsystems atrajo a casi un cuarto de los ataques, mientras que el resto se centró en las vulnerabilidades encontradas en Adobe Flash e Internet Explorer.
Robert Hansen, director general de la firma de seguridad SecTheory, con sede en Austin, Texas, afirmó que el método que sigue BLADE parece ser único, y que podría ser efectivo a la hora de detener todas las descargas drive-by a corto plazo. Eso es, afirmó, hasta que la técnica sea ampliamente incorporada en los productos comerciales. “Herramientas como esta son geniales—proporcionan otra capa de protección, aunque tampoco son la panacea,” afirmó Hansen.
El verdadero factor a la hora de medir la utilidad de una herramienta de seguridad es, a menudo, el hecho de que pueda ejecutarse en una amplia gama de sistemas sin interferir con otros tipos de software, señaló Hansen.
“Esto puede que funcione bien en el laboratorio, pero la cosa cambia al tratar de instalarlo en los ordenadores de la gente,” afirmó Hansen. “De hecho, no me sorprendería que algo como esto llegase a interrumpir fácilmente la funcionalidad de algunas aplicaciones de software legítimas.”
De hecho, los programas legítimos diseñados para descargar actualizaciones de seguridad automáticamente podrían encontrarse con problemas al usar un programa como BLADE, afirmó Eric Howes, director de servicios de investigación en Sunbelt Software, una compañía de seguridad con sede en Clearwater, Florida. “Me preocupa especialmente los falsos positivos potenciales procedentes de otras aplicaciones que lleven a cabo actualizaciones de software o descarguen archivos como tareas de fondo.”
Ciertamente BLADE es incapaz de detener todo el software malicioso de internet, según admite Porras. No puede, por ejemplo, detener los ataques de ingeniería social, mediante los cuales un usuario es engañado o forzado a instalar un programa malicioso. El gusano “Koobface”, por ejemplo, se extiende por redes sociales como Facebook y pide a los usuarios que descarguen un plug-in de reproducción de video para ver una foto o una película que supuestamente ha enviado un amigo. BLADE no haría nada por bloquear estos ataques puesto que piden al usuario permiso para instalar el plug-in falso, que en realidad es un tipo de software malicioso que otorga al atacante un control completo sobre el PC de la víctima.
BLADE también es inútil contra las amenazas que residen completamente dentro del espacio de memoria temporal del ordenador, puesto que la herramienta está diseñada para bloquear malware que intente escribir datos en el disco duro del ordenador. Aunque la mayoría del malware se escribe en el disco duro, existen algunas amenazas avanzadas que pueden vivir sólo en la memoria.