Java reverenciada, no agujereada.

El nuevo torpedo que los ciberdelincuentes dispararon contra Microsoft Office ha sido interceptado por nuestra astuta y tenaz ciberprotección… ¡Viva!

Acabamos de descubrir un nuevo pero bastante conocido ataque. Al abrir documentos de Word un código malicioso se inyectaba imperceptiblemente en el equipo. Esto no hubiese llegado a los titulares de no ser por una circunstancia:  se trataba de un ataque día-cero, es decir, uno que utiliza una antes desconocida vulnerabilidad en MS Office para la que todavía no se han publicado parches, y que muchas soluciones antivirus no logran detectar. Lo adivinaste: ¡nuestro antivirus, gracias a su densa red, la atrapó en el primer intento!

La cosa es que nuestra tecnología Prevención automática contra kits de exploits (AEP, por sus siglas en inglés), detectó un comportamiento anormal y bloqueó proactivamente los correspondientes ataques. Sin actualizaciones, sin esperas, sin líos. Neutralizada al instante.

Los ataques día-cero son una seria amenaza hoy en día.

Hay que noquearlos sin pensarlo dos veces. Sin embargo, muchos antivirus son bastante limitados contra los riesgos futuros que representan los ataques día-cero, con una ‘protección contra futuras amenazas’ que sólo está ‘incluida’ en papel o en la caja (que son muy bonitas J). ¡No podía ser de otra manera! Después de todo, una genuina y efectiva protección contra futuras amenazas requiere de enormes dosis de inteligencia y recursos para su desarrollo. No todos los fabricantes tienen la primera, y si alguno tiene la segunda, no siempre le aciertan. Y esta es una tecnología imposible de copiar

A diferencia de lo que el Buda y los partidarios del new-age sostienen como bueno para las personas, nosotros siempre hemos afirmado que en la seguridad informática no se puede vivir para el presente, para el momento. La seguridad informática necesita constantemente mirar hacia el futuro y anticiparse a lo que tramarán los cibermaleantes, antes de que las cosas sucedan. Algo parecido a lo que ocurre en  la película Minority Report. Es por eso que la ‘proactividad’ forma parte de nuestra agenda desde los años 90, cuando ya nos distinguíamos del resto de la multitud en la seguridad informática, entre otras cosas, por desarrollar el método heurístico en nuestro emulador. ¡El pensamiento a futuro corre por la venas de KL!

Desde entonces, la tecnología se ha reinventado, se ha afinado y ha mejorado, y hace unos dos años todas las características de la protección contra la explotación de vulnerabilidades conocidas y desconocidas fueron agrupadas bajo el manto de la AEP. Y de forma muy oportuna, además, porque gracias a ella hemos podido descubrir proactivamente toda una maraña de ataques dirigidos, como Red October, MiniDuke y Icefog.

 

Entonces hubo una repentina erupción de un malsano interés en Java de Oracle, pero nuestra AEP una vez más entró en acción: hizo su trabajo neutralizando la peste.

Lo que guió a la AEP a la batalla fue su módulo Java2SW, especialmente diseñado para detectar ataques mediante Java.

Y es a este módulo que me referiré de aquí en adelante en este artículo.

El escenario de programas dentro de una computadora corriente se parece a una tradicional manta hecha a mano: ¡muchos parches y muchos agujeros! Es muy común encontrar vulnerabilidades en los programas (y cuanto más popular sea un programa, más se encontrarán, y con más frecuencia), y las compañía que los desarrollan necesitan protegerlos publicando parches…

… Pero # 1: los desarrolladores de programas no publican los parches de inmediato; algunos se quedan de brazos cruzados ¡incluso por meses!<0}

…Pero # 2: la mayoría de los usuarios olvida, o simplemente no les importa, instalar los parches, y siguen utilizando sus programas llenos de agujeros.

…Sin embargo # 1: ¡la vasta mayoría de ordenadores en el mundo cuenta con una solución antivirus instalada!

Entonces. ¿qué se puede hacer? Sencillo: Traigamos a Java2SW a la palestra. ¿Por qué? Porque mata dos pájaros de un tiro en el dominio Java.

En general, desde la perspectiva de la seguridad, la arquitectura de Java es avanzada. Cada programa se ejecuta en un ambiente aislado: la Máquina virtual de Java, bajo la supervisión de un Security Manager.

Sin embargo, Java fue víctima de su propia popularidad, y no importa cuán bien protegido estuviera el sistema, muy pronto (en directa proporción a su popularidad) se encontraron vulnerabilidades. Las vulnerabilidades siempre se encuentran, tarde o temprano, y todos los fabricantes de software tienen que estar preparados para ello, en particular (i) desarrollando oportunamente tecnologías de protección, (ii) reaccionando muy rápidamente, y (iii) informándoles a los usuarios sobre cuán importante es la actualización de los parches de seguridad.

Lo cosa es que, en relación a Java, Oracle no hizo casi nada sobre los puntos recién mencionados. En realidad hicieron un trabajo tan chapucero que de forma masiva los usuarios comenzaron a eliminar Java de sus navegadores, a pesar de la incomodidad que esto representaba al abrir algunos sitios web.

Júzgalo tú mismo:  cantidad de vulnerabilidades que se detectaron en Java en 2010, 52; en 2011, 59; en 2012, 60; en 2013, 180 (¡y el año aún no termina!). Asimismo, la cantidad de ataques a través de las vulnerabilidades en Java creció en una forma igualmente preocupante:

Java attacks growing fast

Entonces, ¿qué es tan asombroso sobre Java2SW y cómo neutraliza los ataques a través de las vulnerabilidades en Java?

Bueno, además del Security Agent incluido por defecto, le agrega a la Máquina virtual de Java otro elemento de seguridad. Realiza análisis adicionales e independientes del código de Java y detiene su ejecución si descubre cualquier actividad sospechosa.

Esta actividad es particularmente complicada de eliminar porque se necesita acceder directamente a la plataforma Java, y no sólo ‘envolverla’. ¿Por qué? Porque desde afuera, Java es bastante opaca; algo pasa en su interior, pero no está claro por qué. Por ejemplo, Java puede ejecutar uno u otro proceso, pero ¡es un misterio para qué lo hace! Pero al mirar adentro es posible encontrar qué código se está ejecutando en la máquina Java, los permisos que tiene, la fuente, etc., y entonces sacamos nuestras conclusiones según lo que encontramos.

Gracias a su arquitectura Java proporciona una buena cobertura para múltiples plataformas (las aplicaciones Java sin modificación pueden funcionar prácticamente en todos los sistemas operativos). Pero con semejante flexibilidad viene la necesidad de toneladas de materia gris para poder desarrollar una protección acorde, pues se necesita acceder directamente al corazón de la plataforma Java, y la cirugía cardiaca nunca es sencilla. No es necesario mencionar que no es posible realizar esta ‘cirugía inteligente de corazón ‘ en cualquier antivirus; mientras tanto, nuestra tecnología ya hizo el trabajo, y en este momento está en la fila para obtener su patente.

Otro estupendo aspecto sobre Java2SW es la forma en que trabaja en combinación con otros subsistemas de protección contra vulnerabilidades (AEP).

Una vez que detecta una actividad sospechosa, el módulo inmediatamente envía la información pertinente a System Watcher, el componente que recoge señales de otros sensores antivirus, mira el cuadro completo, y toma acciones óptimas informadas (precisas) que neutralizarán hasta los ataques más sofisticados.

Java2SW protects against attacks using Java exploits

Así, incluso si el Security Manager de Java queda comprometido en un ataque (y, oh, cómo les gusta a la ciberescoria atacarlo), ¡no importa! Aún podemos detectar y bloquear el ataque.

Entonces, ¿es Java2SW la panacea contra todas las vulnerabilidades desconocidas de Java?

Aquí es importante recordar algo: Java2SW no detecta ataques día-cero y no descubre vulnerabilidades. No están en su jurisdicción.  Pero, por más extraño que parezca, su efectividad sólo se beneficia de este hecho. Java2SW expone a los exploits (comportamientos anómalos de los códigos), pero no es de su incumbencia el blanco de sus ataques. No evita los agujeros en la arriba menciona tradicional colcha hecha a mano, sólo neutraliza los ataques a través de los agujeros. Entonces, no estamos a la búsqueda de determinadas vulnerabilidades, sino más bien estamos para proteger a los usuarios con un enfoque más universal.

¿El resultado?

Primero, con un alto índice de éxito podemos proteger a los usuarios contra ataques desconocidos a través de las vulnerabilidades en Java. En otras palabras, le agregamos un margen de seguridad al tiempo que transcurre entre el descubrimiento de las vulnerabilidades y la publicación de los respectivos parches.

Segundo, incluso si un usuario pertenece a la categoría de los que no se interesan en instalar los parches oportunamente, también lo salvamos de los ataques.

Y con esta nota positiva, me despido. Pero no por mucho tiempo…

LEER COMENTARIOS 0
Deja una nota