¿Podrán la computación de nube y las redes sociales mejorar la seguridad de los programas?
Frecuentemente las personas se apoyan en su círculo de amistades para conseguir ayuda. Ahora, una compañía espera poder unir esas conexiones sociales para crear y entregar programas de seguridad que protegerán a los usuarios frente a virus de ordenador y otras amenazas digitales.
El pasado miércoles, la nueva compañía Immunet anunció el lanzamiento de su primer producto, Immunet Protect, un programa que revisa archivos descargados verificandolos contra un directorio de programas dañinos, programas espías, caballos de Troya y virus. La compañía se une a varias otras en el proceso de convertir sus capacidades de detección de programas dañinos en un servicio ofrecido por internet, ahora también llamado la “nube”. Aún así, la diferencia real, dicen sus fundadores, es la habilidad que tiene el programa de proteger comunidades digitales—las que tienen que ver con usuarios conectados a través de redes sociales como la de mensajes instantáneos, Facebook y Twitter.
Puesto que los programas maliciosos viajan rápidamente a través de mensajes enviados a amigos en forma de correos electrónicos, mensajes instantáneos y otras tecnologías de redes sociales, Immunet tiene planeado utilizar las mismas rutas de propagación para el envío de la información requerida para proteger a los usuarios, dice Oliver Friedrichs, Gerente General y fundador de la compañía de cuatro empleados.
“Estamos viendo un incremento en el número de amenazas que se propagaran a través de las redes sociales, y también en el número de ataques a redes sociales en general”, dice Friedrichs. “Su red social se está convirtiendo en un importante y gran vector de ataques, más de lo que había sido en el pasado. Nuestro enfoque consiste en proteger las redes sociales”.
Los usuarios de Immunet podrán ver quiénes de sus amigos de su red social están utilizando el servicio. Por ejemplo, los usuarios de Facebook podrán ver quiénes de sus amigos también han instalado el programa Immunet Protect. Además, los usuarios del servicio podrán ver si sus amigos han visto una proporción mayor de amenazas de seguridad en relación a la población total de usuarios de Immunet Protect.
La idea es tratar los programas dañinos o malignos menos como un problema de análisis—en los que un archivo se analiza para determinar si representa una amenaza—y más como un problema de minería de datos, dice Friedrichs. Cuando se descarga un nuevo archivo en el ordenador de un usuario, información de más de 100 atributos del archivo en cuestión es enviada a los servidores de Immunet. Si se reconoce una amenaza, el servicio responderá en una quinta parte de segundo; de lo contrario, al archivo se le permitirá correr mientras la compañía intenta analizar los atributos del mismo.
“Existen demasiadas amenazas hoy en día como para que un analista pueda analizarlas todas, por lo tanto, estamos utilizando tecnologías de minería de datos para encontrar las agujas en el pajar”, dice Friedrichs. “Creemos que nuestra base de usuarios es una red de sensores bastante grande”.
No es un secreto que los programas de antivirus actuales tienen problemas detectando las últimas amenazas. La pasada semana, la compañía Panda Security comunicó un reporte que mostraba que el 52 por ciento de los programas dañinos no son detectables o visibles por más de 24 horas; esto se debe a que los delincuentes cibernéticos que son responsables de la propagación de estos programas comprimen y arreglan el código binario de una manera distinta cada día, una técnica conocida como empaquetamiento (packing). La habilidad de arreglar los códigos ha puesto a las compañías tradicionales de antivirus en desventaja. En un artículo de investigación publicado el año pasado, científicos de ordenadores de la Universidad de Michigan, en Estados Unidos, encontraron que aún los mejores programas antivirus podían detectar solamente un tercio de los códigos dañinos empaquetados. Al mejor programa de antivirus le tomo 3 meses detectar el 90 por ciento de los programas peligrosos.
“Desafortunadamente, no existe una solución fácil a este problema”, dice Jon Oberheide, un estudiante de PhD en la Universidad de Michigan y autor principal del articulo. “La batalla es bastante asimétrica, muy a favor de los atacantes. Necesitamos enfocar nuestros esfuerzos y recursos en enfoques que reduzcan significativamente esta asimetría, en vez de seguir con el juego de reaccionar a los ataques, juego que definitivamente los buenos están perdiendo”
Para poder analizar y procesar los virus con mayor rápidez, varias compañías se han movido a un modelo nube, en el que —en vez de poner un programa inteligente de análisis en el ordenador de cada usuario—el escáner es un programa “tonto” que convierte cada nuevo archivo en una lista de atributos que son entonces enviados a los servidores de los proveedores de los programas. Estos servidores analizan los atributos de los archivos para determinar si son archivos malignos o no.
Otras firmas de antivirus ya han comenzado a reconstruir sus programas incorporando el modelo de computación de nube. McAfee, Panda y Prevx ya proveen algún nivel de análisis automatizado, como un servicio en línea para los usuarios.
Pedro Bustamante, investigador consejero senior de Panda Security, dice que datos de comunidades ayudan a las firmas de antivirus a priorizar sus esfuerzos de análisis. Panda analiza cerca de 50.000 archivos al día, de los cuales aproximadamente 37.000 son muestras de códigos malignos.
“Todavía no he visto un producto que esté utilizando las comunidades como un factor de detección”, dice. “Pienso que podría ser un buen complemento para la tecnología de detección, pero nunca un factor único”.
Sin embargo, la propuesta de Immunet pone a la compañía en la fase temprana de una solución nube para los programas de anitivirus, agrega Bustamante. "Desarrollar este tipo de tecnologías en la nube lleva mucho tiempo."
Friedrichs enfatiza que el servicio de Immunet no es completo —aún está en desarrollo. La compañía está trabajando en agregar detecciones genéricas y heurísticas para clasificar grandes categorías de amenazas, lo que las haría más fáciles de identificar. Además, actualmente, la compañía está considerando formas de manejar archivos potencialmente peligrosos cuando el ordenador del usuario no esté conectada a internet.