El mundo de antivirus

miércoles, 1 de septiembre de 2021

Hoy día vamos a hablar sobre el tema de errores de actualización de los productos antivirus Dr.Web que a veces afrontan nuestros usuarios, con un mensaje diciendo que «el SO no soporta el algoritmo de hash SHA-256». Qué error es, cómo surge y por qué no había surgido antes, así como, por supuesto, cómo afrontarlo —de todo eso informará «El mundo de antivirus».

Para empezar, vamos a ver qué significan estas siglas enigmáticas — SHA. Significa Secure Hash Algorithms, lo cual se traduce como «algoritmos de hash seguros». Otra palabra poco usual es hash, que significa “mezcla” en inglés. Pero toda la mezcla se arreglará si Vd. sigue leyendo.

Existe un concepto — «función hash». Significa un modo de recibir “la huella digital” de los datos aleatorios, así mismo, esta información siempre es un conjunto de caracteres de longitud determinada (una mezcla, pero no totalmente). Si transferimos algún archivo a esta función, en la salida recibimos un molde del mismo, que posteriormente podrá ser usado para identificar este archivo para asegurarse de que el mismo no había sido modificado. En la práctica esto se aplica, por ejemplo, para crear la Firma digital, en particular, para los archivos ejecutables. SHA incluye toda la familia de funciones hash requeridas para esta identificación.

Recordamos que una de las medidas de difusión de archivo maliciosos desde hace mucho es la recepción del certificado de firma digital por cada desarrollador de software. Con el mismo, este desarrollador firma todos los archivos ejecutables en su programa. Hoy día todos los desarrolladores firman su software de esta forma, y Doctor Web hace lo mismo.

También hay una cosa importante: cualquier certificado de la Firma digital debe haber sido emitido y firmado por algún centro certificados. Así mismo, en el equipo del usuario hay una biblioteca de certificados de centros de confianza para el desarrollador del sistema operativo instalado en el PC. Esta confianza sirve de forma automática para todos los certificados que firman estos centros certificadores. Para firmar los archivos ejecutables de controladores en Windows se puede usar solo un centro certificador — Microsoft.

Al principio, en Windows para firmar los archivos ejecutables se aplicaban las funciones hash SHA-0 y SHA-1 (creadas respectivamente en los años 1993 y 1995). Actualmente las mismas se consideran vulnerables en cuanto a la colisión. Lo cual significa que, al disponer de hash conocido, un malintencionado puede generar un archivo que tendrá el mismo hash que el archivo legítimo, bastante rápido.

Por lo tanto, actualmente en el SO Windows se aplican los hash de la familia SHA-2 con longitud de la función hash no inferior a 256 bit (así surge su nombre— SHA-256). Esta función apareció en el año 2001, pero fue realizada en Windows mucho más tarde: así, por ejemplo, la actualización para Windows 7 KB3033929 que la añade es del año 2015. Además, estas actualizaciones están disponibles no para todas las versiones de Windows, sino solamente a partir de Windows Vista y Windows Server 2008. Para las versiones más recientes no están previstas estas actualizaciones.

A partir del 14 de enero del año 2020 la empresa Microsoft dejó de soportar SHA-1 para todas las versiones de Windows, por lo tanto, desde aquel entonces no es posible lanzar un controlador (y en general como cualquier archivo ejecutable) que tenga firma digital de confianza del desarrollador, sin usar SHA-2. Pero un antivirus lo requiere sin falta.

Como resultado, Doctor Web para firmar sus productos también cambió al nuevo certificado de Firma digital con SHA-2. Eso significa que para usar nuestros productos con actualizaciones de componentes el sistema operativo debe soportar el algoritmo SHA-2. Sobre los cambios correspondientes para Dr.Web de versión 12, informamos en nuestra noticia del mes de febrero.

Para algunos SO esto significa la necesidad de aplicar las actualizaciones sin las cuales los componentes del antivirus firmados con SHA-2 no serán verificados y no se iniciarán en el equipo. Para el funcionamiento correcto de los productos Dr.Web en PC con SO Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 deben ser instaladas las actualizaciones del sistema de seguridad Microsoft que proporcionan el soporte de SHA-256.

#malware #criptografía #nombres #software_ilegal #actualizaciones_del antivirus #terminología #firma_digital