/*codigo slider*\

lunes, 18 de marzo de 2013

Heurística antivirus y la detección proactiva de amenazas | Blog de Laboratorio de ESET

Heurística antivirus y la detección proactiva de amenazas | Blog de Laboratorio de ESET:


Desde el Laboratorio de ESET Latinoamérica hemos actualizado el documento Heurística Antivirus: detección proactiva de malware. El objetivo es ampliar la información y simplificar su entendimiento.
Para aquellos que desconocen qué es la heurística, se trata de una tecnología diseñada para detectar códigos maliciosos de forma proactiva, es decir, sin la necesidad de contar con una firma específica. En esta línea, la solución de seguridad analiza un archivo y compara su comportamiento con ciertos patrones que podrían indicar la presencia de una amenaza. A cada acción que realiza el fichero se le asigna un puntaje, por lo tanto, si ese número es superior a un determinado valor, se clasifica como probable nuevo malware. La importancia de este método de detección proactiva radica en la cantidad de códigos maliciosos que aparecen todos los días. Esto imposibilita emplear firmas como una solución única y efectiva para esta problemática. A continuación se expone un esquema que muestra las etapas necesarias para detectar una amenaza a partir de su creación. Se compara tanto la heurística como las firmas (hacer clic para ampliar imagen):
Esquema heurística
Tal como puede observarse en el esquema anterior, la detección mediante heurística protege al usuario antes de que la amenaza aparezcapor lo tanto, reduce el tiempo necesario para proteger a las potenciales víctimas a cero. Por otro lado, las firmas requieren de un lapso considerablemente mayor. Primero es necesario recibir la muestra, luego desarrollar una detección, subirla al servidor, y esperar hasta que la computadora del usuario se actualice con la nueva base de datos. Ese “período ventana” varía de acuerdo a factores como la complejidad del malware, el tiempo tardado en recibir la muestra, y el lapso transcurrido entre que se publica la actualización y es instalada en la computadora del usuario. Considerando los aspectos mencionados anteriormente se podría deducir (erróneamente) que la heurística es suficiente por sí sola, sin embargo, el uso de firmas también se hace necesario por algunos motivos:
  • Las firmas permiten detectar códigos maliciosos de modo mucho más específico, por esta razón, son más eficientes para remover amenazas complejas previamente conocidas.
  • Debido a numerosas técnicas empleadas por los cibercriminales para ofuscar malware y evadir métodos heurísticos, en algunos casos es necesario contar con firmas específicas.
  • Aunque una amenaza sea detectada por heurística, agregar una firma concreta permite ahorrar recursos del sistema al momento de analizar archivos.
En el post Heurística o firmas, ¿cuál usar? es posible encontrar más motivos que hacen necesaria la complementación entre heurística y firmas. Asimismo existen distintos tipos de heurística. Por ejemplo, las firmas genéricas están diseñadas para detectar modificaciones menores (variantes) de otros códigos maliciosos conocidos (familias). En este punto es importante destacar que las soluciones de ESET emplean varios tipos de heurística y firmaspara optimizar la detección de amenazas. Para los interesados en profundizar sobre este tema los invitamos a descargar el documento actualizado de Heurística Antivirus: detección proactiva de malware.
André Goujon
Especialista de Awareness & Research

miércoles, 6 de marzo de 2013

Asegurando el envío de correos electrónicos con el protocolo DMARC | Blog de Laboratorio de ESET

Asegurando el envío de correos electrónicos con el protocolo DMARC | Blog de Laboratorio de ESET:


DMARC (siglas en ingles para Domain-based Message Authentication, Reporting & Conformance) es una especificación técnica creada por varias organizaciones con el objetivo de reducir el envío de phishing. La última gran empresa en empezar a usarlo es Twitter.
En el pasado mes de febrero fueron varios los casos reportados de usuarios de Twitter afectados, tal vez entre los más relevantes está el caso de Burger King  suplantado con imágenes de McDonald’s o el ataque que comprometió 250.000 usuarios de Twitter. En los últimos días de febrero la red social de los 140 caracteres anunció la implementación del protocolo DMARC en sus servidores para el envío de correos electrónicos a sus usuarios.
Dentro de las empresas que aportaron al desarrollo del protocolo DMARC se cuentan Google,MicrosoftPaypalYahoo!Facebook y AOL. La principal característica de este protocolo es que está diseñado para incrementar la seguridad de la autenticación del correo electrónico, comparando la información de quién envía el correo electrónico con los datos disponibles en el servidor para determinar si la información concuerda. Una vez que se comprueba la información del remitente, se le informa al receptor como debe tratar el mensaje.
Con DMARC un remitente puede autenticar sus mensajes utilizando tecnologías como SPF (Sender Policy Framework) y/o DKIM (DomainKeys Identified Mail) pero además agrega una política adicional que le dice al receptor si debería rechazar el mensaje en caso de que los otros métodos no funcionen. Con esto se logra limitar la exposición del usuario a los mensajes potencialmente fraudulentos o maliciosos.
Con la implementación del protocolo DMARC se forma un entorno colaborativo entre quienes envían y reciben correos electrónicos, ya que la forma en que se encuentra diseñado permite incluir procesos de autenticación que funcionan en los servidores de correos existentes. De esta forma, si el mensaje recibido está de acuerdo con lo que el receptor conoce del remitente, el mensaje pasa. Sin embargo, en caso de no coincidir esta información, se envía un mensaje de alerta al remitente.
Este protocolo provee una protección efectiva contra los correos basura, problema que tiene grandes dimensiones. De acuerdo a la información publicada por la organización que regula DMARC, durante los dos últimos meses de 2012 en total 118.000 millones de mensajes fueron enviados a los receptores compatibles con el protocolo para que rechazaran correos electrónicos recibidos, y en el mismo período los proveedores de correo electrónico dicen haber bloqueado más de 325.000 millones de mensajes marcados con la política de rechazo del protocolo.
DMARC está disponible para quien lo quiera implementar, y está en proceso de ser presentado a la IETF para convertirse en un estándar oficial de Internet, de forma que pueda servir de referencia para ser implementado y mejorado. Si bien es un protocolo que reduce de manera considerable los mensajes no deseados, es importante destacar que esto no significa el fin del phishing ya que si por ejemplo una cuenta de correo legítima es secuestrada podría utilizarse para enviar mensajes de este tipo.
Cabe entonces recordar la importancia de contar con una solución de seguridad que brinda protección Antispam y proteger adecuadamente las cuentas de correo y los servicios críticos con contraseñas fuertes para evitar que estas puedan ser vulneradas y utilizadas de forma inadecuada.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Related Posts Plugin for WordPress, Blogger...