El mundo de antivirus

jueves 31 de mayo de 2018

Se suele criticar mucho a Microsoft, y la empresa hace caso a la crítica. Intenta hacer sus sistemas más seguros, con tecnologías que evitan la posibilidad de ataques populares de los malintencionados. Por ejemplo, los ataques destinados a sobrecargar el búfer.

Supongamos que tenemos un programa donde se transfieren algunos datos (las opciones de la línea de comando o la información indicada por el usuario en el sitio web). Este programa recibe su nombre y apellidos como datos de entrada. Es lógico que no sean datos muy largos. Y si es así, se puede no calcular cada vez cuántos datos han sido transferidos, sino reservar un área determinada para almacenarlos. Pero un malintencionado puede transferir los datos de entrada cuyo volumen supera el almacén reservado para recibirlos. Y, si el programa no comprueba el volumen de datos realmente transferidos, una vez llenado el área reservada, el procedimiento de recepción continuará grabando fuera de la misma, al reescribir otros datos, y a veces el código también.

Si un hacker crea los datos transferidos de un modo especial, podrá cambiar completamente el código del programa.

Aunque este tipo de ataque es muy conocido, no todos los programas están protegidos del mismo.

Otra opción del ataque al reescribir los datos: introducir el código necesaria en el área destinada para los datos y asignarle la administración. En este caso, la parte básica del programa no cambiará.

Para la protección contra el ataque, la empresa Microsoft desarrolló una tecnología especial– DEP. Al usarla, las áreas destinadas para los datos, se marcan como “no ejecutables” (NX). Si la aplicación intenta ejecutar un código del segmento de la memoria con la marca NX, el mecanismo DEP prohibirá esta acción.

El soporte DEP fue añadido a Windows, a partir de las versiones XP SP2, Server 2003 SP1 y 2003 R2. Así mismo, hay dos realizaciones DEP: hardware a nivel de procesadores y software.

Para saber si su sistema soporta la realización hardware, en el Panel de control abra la configuración de rendimiento, y luego vaya a la pestaña Prevención de ejecución de datos.

En la parte inferior de la ventana de configuración del servicio DEP se indica el tipo de realización de este servicio.

El servicio DEP soporta dos niveles de protección:

1. El primer nivel protege solo el código de sistema y ejecutable del SO Windows.
2. El segundo nivel protege todo el código ejecutable en el sistema. Los mecanismos DEP se aplican también para el código de sistema Windows, así como para las aplicaciones de la empresa o de productores independientes.

Los administradores pueden configurar los niveles de protección con la pantalla de configuración del servicio DEP.

Se puede comprobar si una aplicación está protegida, al abrir el Administrador de tareas y configurar la visualización de la columna Prevención de la ejecución de datos.

¿Todo bien? No exactamente.

DEP no sabe quién intenta ejecutar el código del área de datos: un malintencionado o el programa, y automáticamente finaliza el programa. Por lo tanto, ahora los ciberdelincuentes pueden realizar el ataque de rechazo de servicio. Al imitar un intento de ejecutar un código del área de datos, hacen que el sistema finalice este programa.

Información poco conocida. Los primeros antivirus contenían las descripciones de virus en sí mismos. Pero luego el número de virus creció, y ahora las descripciones se guardan en una base de virus autónomo. Pero se requieren actualizaciones constantes, por lo tanto, esta base se actualiza al reescribir los datos obsoletos. Todos saben que un antivirus guarda sus bases de virus en la memoria. Pero ¿cómo se ubican allí? Se dedica un área de datos donde se guardan las firmas y el código heurístico. Y desde esta área se ejecuta el código de la base de datos. Los programas antivirus pertenecen a pocos programas que tienen permitida la ejecución del código del área de datos, de otra forma no pueden funcionar.

#Windows #antivirus #juegos #vulnerabilidad #exploit