banner

Protegiendo me "in the wild" con Antivirus, Antiexploits y ...

Últimamente se esta poniendo en entre dicho la funcionalidad de técnicas de protección que están desde hace mucho tiempo con nosotros como son el "Antivirus" y "Cortafuegos", los motivos son la evolución de las técnicas y/o vectores de ataque que el "Malware" utilizan para introducirse en el Sistema.

En efecto, las técnicas de ataque actuales que son utilizadas por el Malware (virus, troyanos, gusanos, botnets, etc) son mucho más sofisticadas, buscan explotar las vulnerabilidades (preferiblemente zero-day) de las aplicaciones mas extendidas en los Sistemas, como son Java, Navegador WEB, Adobe PDF, etc 

Además de explotar estas vulnerabilidades, aplican otras técnicas como son cifrado de comunicaciones, cifrado y/o ofuscación del código que cargan en la memoria tras explotar la vulnerabilidad, técnicas de evasión de antivirus, etc. Es por ello que a día de hoy el Antivirus y/o un cortafuegos de entrada son insuficientes para estar protegido cuando salimos a Internet.

¿Qué podemos hacer?

Gracias a un artículo de Sergio de los Santos (@ssantosv), he conocido una herramienta muy prometedora, se trata de Exploitshield, un software que detecta las técnicas de intentos de explotación de vulnerabilidades en el Sistema, bloqueando la ejecución de las mismas, de esta forma evitan que se lleve a cabo con éxito la explotación de una vulnerabilidad y evitando por tanto la infección del Sistema mediante este tipo de técnicas.

En la página web de este programa, nos muestran un vídeo de como su software es capaz de bloquear múltiples intentos de ejecución de código arbitrario en nuestro Sistema a través de una vulnerablidad en JAVA.



Características de ExploitShield:

La versión beta 0.7, permite la detección y bloqueo de técnicas de ataque a través del navegador Web en las siguientes aplicaciones:

  • Web browsers (Internet Explorer, Firefox, Chrome, Opera)
  • Media players (Windows Media Player, VLC, QuickTime, Winamp)
  • Microsoft Office (Word, Excel and Powerpoint)
  • PDF readers (Adobe Acrobat, Reader & Foxit Reader)

Esta herramienta no es la única complementaría que podemos usar para combatir el Malware, además de Exploitshield, Microsoft ha lanzado otro software que trabaja de forma similar y promete actuar frente al Malware que intenta acceder a zonas de memoria no autorizadas, es decir, exploits que pretender ejecutar código arbitrario a través de una vulnerabilidad. 

Se trata de EMET (Enhaced Mitigation Experience Toolkit) un software que permite a los usuarios mejorar la seguridad de las aplicaciones que ejecutamos en Windows utilizando dos características de seguridad avanzados de Windows Vista y Windows 7, estamos hablando de Address Space Layout Randomization (ASLR) y Data Execution Prevention (DEP). 

Dos características de Windows que se encargan de dificultar la ejecución exitosa de exploits y dificultar al Malware localizar los sectores en memoria en los que se sitúan los datos que los atacantes pretenden conseguir/reemplazar, aunque es una herramienta muy interesante, existen técnicas de evasión de ASLR y DEP, aunque esto no quiere decir que no sea efectiva, sino que "puede" prevenir los ataques.

¿Y Ahora qué?

Al igual que el Antivirus no es capaz de detectar todas las amenazas, y de protegernos ante cualquier tipo de virus/troyano o Malware, estos programas no serán capaces de parar y/o bloquear todos los ataques, pero de una cosa estamos muy seguros, sin ellos "estamos vendidos", para explicarlo con más claridad utilizaré es mismo ejemplo que Sergio de los Santos en su artículo.

El Antivirus es nuestro chaleco antibalas, y los programas antiexploits son nuestro casco y protecciones en las extremidades, sin embargo, como sabemos quedarían algunas partes del cuerpo sin proteger completamente, pero lo que esta claro que ya no será suficiente con un simple disparo, si no que tendrá que ser un autentico francotirador de elite.


Bajo la premisa de que la Seguridad Absoluta no existe, sabemos que siempre habrá una probabilidad y un riesgo de que las medidas de protección no sean capaces de detectar y eliminar la amenazas, pero en algo estaremos de acuerdo, yo de vosotros me pondría el chaleco antibalas, el caso, guantes e incluso espinilleras antes de salir a un campo de tiro (Internet).

Resumiendo

Dicho todo lo anterior, mi recomendación es complementar el software antivirus con otras medidas de protección adicionales, como por ejemplo Exploitshields, y otras herramientas de seguridad adicionales como un Host IDS, mejorando algunos aspectos de configuración de nuestro Sistema, con WinLockLess, etc.

Un Host IDS como Patriot NG herramienta que detecta cambios "sospechosos" en la configuración del sistema y/o ataques en nuestra red de área local, como por ejemplo la red inalámbrica.

Y por supuesto, la mejor manera de mantenernos protegidos, es intentar actualizar todas las aplicaciones que tengamos instaladas, sobre todo JAVA, Adobe flash, PDF, etc. Y sobre todo, lo que no sea necesario desinstalarlo.

Yo ya tengo instalado exploitshield ¿y tu? voy a darle una oportunidad.

Referencias


No hay comentarios :

Publicar un comentario en la entrada