¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Los areneros

Consultas: 2086 Comentarios: 3 Ranking: 8

jueves, 13 de septiembre de 2018

Muchos saben que la palabra Firewall proviene de seguridad contra incendios. Pero hay otro componente de sistemas de protección cuyo nombre también está vinculado a esta área, pero la gente no piensa en incendios cuando lo ve.

#drweb

Una tolva para la arena, una caja contra incendios, una caja para arena… En otras palabras, un arenero. Una construcción donde se puede tirar con seguridad algo que se está quemando y luego ver qué es.

Es así el propósito del sistema de protección contra programas nocivos moderno llamado “arenero”. El programa se coloca en un entorno donde realiza (o no realiza) sus funciones nocivas. Por supuesto, en teoría se supone que la construcción del entorno de pruebas es así que el programa no pueda influir en nada fuera del arenero.

Los areneros pueden servir para comprobar los archivos recibidos o iniciar un archivo/un programa en el entorno aislado. La segunda opción con mucha frecuencia se realiza como Firewall protegido donde el usuario puede, por ejemplo, realizar las transacciones bancarias de forma segura.

Por supuesto, al crear un arenero uno preferiría aislar al máximo cada archivo ejecutable recibido para que parezca que este archivo tiene acceso completo a los datos de usuarios. Pero se requieren los recursos que consumirán los areneros para su propio funcionamiento. Por lo tanto, hay muchas opciones de construcción de areneros (al igual que los de incendios) que se distinguen por el nivel de aislamiento y por los recursos consumidos.

Los areneros más seguros se realizan a base de sistemas de virtualización. Lo mejor es que cada archivo se abra en una máquina virtual autónoma que se inicia solo para el mismo. Un análogo es un contenedor antideflagrante que todos habrán visto en el metro.

Pero para cada archivo recibido habrá que iniciar su máquina virtual u organizar la transferencia de archivos entre la máquina de pruebas y la básica.

Además, siempre hay que recuperar el estado inicial del sistema de archivos y del registro para desinfectar el arenero. Si no lo hacemos, por ejemplo, los agentes de spam bots continuarán su funcionamiento dentro del arenero como siempre. El arenero no puede bloquearlo. Además, qué hacer con dispositivos extraíbles (las unidades extraíbles, por ejemplo) o con los juegos descargados de Internet que puedan contener programas nocivos.

https://habr.com/post/105581

La máquina virtual también consume muchos recursos. Además, para las pruebas de funcionamiento del software nocivo habrá que instalar MS Office como mínimos, y las licencias de software comercial son de pago.

El segundo enfoque es el siguiente: todos sabemos que para la mayoría de virus y troyanos necesitan archivos para su funcionamiento. Entonces vamos a usar una copia al intentar consultar un archivo en nombre del programa iniciado.

El aislamiento a base de virtualización parcial del sistema de archivos y el registro. El intento de modificar estos objetos solo cambiará su copia dentro del arenero, los datos reales no sufrirán cambios.

El control de permisos no permite atacar el sistema básico desde fuera del arenero a través de las interfaces del sistema operativo.

Pero, al igual que en el caso anterior, es necesario gastar los recursos para comprar los datos solicitados por el programa sometido a pruebas. En los discos duros ahora por supuesto cabe mucha información, pero si algún programa desea escanear y cifrar todo el disco, habrá que crear copias de todos los archivos. Y en este caso es posible que un disco no sea suficiente.

Y es que al mismo tiempo muchos archivos pueden ser escaneados.

Además, el problema básico es el siguiente: no hay aislamiento completo del sistema y, si el software nocivo puede necesitar no solo archivos o si el mismo usa algún truco de hackers, el aislamiento puede ser esquivado.

Y ¿a lo mejor vale la pena no aislar el archivo sometido a pruebas sino solamente supervisar sus acciones?

Aislamiento a base de reglas. Todos los intentos de cambiar los objetos del sistema de archivos y del registro no se virtualizan, pero se analizan desde el punto de vista del conjunto de reglas internas del medio de protección. Cuanto más completo y justo es este conjunto, mayor protección del sistema básico contra la infección ofrece el programa. Es decir, este enfoque es un compromiso entre la comodidad del intercambio de datos entre los procesos dentro del arenero y el sistema real y el nivel de protección contra modificaciones nocivas. El control de permisos no permite atacar el sistema básico desde dentro del arenero a través de las interfaces del sistema operativo.

Pero… Es la protección preventiva. Aunque no completa, porque la protección preventiva no supone el aislamiento del archivo iniciado.

Pero el problema de aislamiento en areneros no es el único. ¿Cuántos archivos se descargan al abrir las páginas del sitio web? ¿Qué es lo que descargo el sistema automáticamente?

El problema es que los archivos descargados personalmente por el usuario son solo la parte visible del iceberg (y el archivo descargado, a su vez, puede descargar complementos, lo cual los troyanos suelen hacer con frecuencia). Y surge una pregunta: ¿qué debe ser escaneado? ¿TODO? No hay bastantes recursos para hacerlo y, además, esto llevará mucho tiempo. ¿Solo lo descargado por el usuario? Nadie garantiza que la parte nociva del conjunto sea escaneada. ¿Crear un sistema de selección que colocará los archivos en el arenero?

Las desventajas confirman que la protección similar no es perfecta. Además. El mecanismo heurístico del módulo que se usa para tomar la decisión puede o funcionar bien en el módulo ejecutable, estas soluciones tienen resistencia casi cero a los archivos no ejecutables que contienen los scripts nocivos. Y además hay más problemas (por ejemplo, de instalación de extensiones nocivas desde dentro del navegador, desde el cuerpo del exploit).

Y lo último, lo más importante. Todos los areneros existentes en el mercado son conocidos. Y un malintencionado puede detectar que el archivo se inicia en el arenero.

El módulo de instalación del troyano tiene funcionalidad que permite detectar un intento de inicio del programa nocivo en el entorno de depuración o en una máquina virtual para dificultar su análisis por los expertos. Así mismo, se realizan las pruebas de Sandboxie en el entorno aislado

https://news.drweb.com/show/?c=5&i=4055

El troyano simplemente esperará un rato sin realizar ninguna función nociva y empezará a funcionar luego, cuando esté “libre”.

#Dr.Web_vxCube #tecnologías #antivirus

El mundo de antivirus recomienda

No esperamos que los areneros de tercer tipo parecerían tanto a la protección preventiva. Y, a propósito, tenemos nuestro propio arenero, un servicio Dr.Web vxCube. Pero no la distribuimos sin razón y por lo tanto los programas nocivos sometidos a pruebas no pueden “saber” que se inician en el mismo.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios