Softavir: Un antivirus para Windows basado en listas blancas
En esta entrada vamos a comentar muy brevemente cómo han ido evolucionando los sistemas antivirus hasta la actualidad y los problemas que han ido surgiendo hasta llegar a la tecnología Softavir (cryptographic whitelisting).
Los sistemas antivirus tradicionales utilizan listas negras para la detección de malware. Esto quiere decir que permiten el funcionamiento de todos los programas salvo aquellos que tienen en una lista de software clasificado como malicioso.
Obviamente, esta política funciona muy mal cuando se trata de malware desconocido.
En un intento por mejorar el sistema y ofrecer protección frente a nuevas amenazas se utiliza también la heurística en combinación con listas negras. La heurística permite detectar amenazas similares a las ya conocidas y funcionó más o menos bien hasta la actualidad.
Actualmente se conocen diversos problemas en la política de lista negra que provocan, como bien se comenta en el libro "Hacking exposed: Malware and Rootkits", que haya que cambiar y buscar otro tipo de soluciones.
Entre estos problemas se pueden citar algunos como los siguientes:
- Las bases de datos de los antivirus tradicionales crecen desmesuradamente de manera que no se pueden mantener debido a la aparición constante de nuevas amenazas.
- Cuando un desarrollador de malware, crea un malware muy pequeño, los antivirus tradicionales tienen problemas para añadirlo a la lista negra ya que una firma tan poco característica, produce falsos positivos en software legítimo.
- Las mafias dedicadas al desarrollo y mutación de malware han conseguido acortar su ciclo de vida y dejar un paso por detrás a los antivirus. Cuando un malware es detectado, otro nuevo o una mutación es la que está infectando a los usuarios.
- La heurística tiene serios problemas para detectar malware nuevo ya que tiene un tiempo y unos recursos limitados para hacerlo (no puede detener la ejecución de un programa un minuto ni tampoco consumir mucha CPU, RAM, etc...). ¿Qué pasa si un malware se porta bien durante el primer minuto de ejecución? ¿Puede la heurística luchar contra los complejos sistemas criptográficos, empacadores y mutaciones de malware?
Para solucionar esta serie de carencias nace Softavir, el software antivirus que basa su tecnología en listas blancas. Esto quiere decir que prohíbe la ejecución de todos los programas salvo aquellos que estén en la lista de conocidos como benignos. El antivirus protege también de dlls maliciosas, con lo cuál el hooking ahí está también incluído. Y la lista blanca consiste en un XML en el que se incluyen los hashes de los binarios.
El malware no puede engañar a la lista (esto lo garantiza el algoritmo criptográfico SHA256).
No requiere actualizaciones, apenas consume recursos por no requerir heurística y protege totalmente frente a nuevas amenazas ya que estas no están en la lista de software permitido.
Si después de leer esta entrada deseas protegerte con Softavir, puedes hacerlo utilizando el siguiente enlace:
http://www.softavir.com/