Nuevo método para protegerse de los ataques drive-by download
Con el objetivo de evitar infecciones inadvertidas, varios investigadores en seguridad proponen ejecutar software virtual en los ordenadores para convertirlos en sensores de código malicioso.
Cada vez son más los empleados que visitan redes sociales desde su puesto de trabajo, por lo que los administradores de red están asistiendo al incremento accidental de infecciones por malware; un ataque conocido como drive-by download.
El Centro de Sistemas de Información Segura (CSIS) de la Universidad George Mason y Northup Grumman Information Systems han concebido un nuevo planteamiento para securizar los ordenadores que consiste en utilizarlos como sensores. La idea fue expuesta recientemente con ocasión del evento Cyber Infrastructure Protection Conference celebrado la pasada semana en Nueva York, donde también se habló de nuevos ataques DoS a las redes inalámbricas o de un nuevo método para detectar infecciones en las redes corporativas.
Anup Ghosh, profesor investigador y científico jefe de CSIS, afirma que las medidas de seguridad perimetral como firewalls y antivirus fallan a la hora de captar la mayoría de los ataques drive-by download. Dice que lo que funciona es que los usuarios ejecuten sus navegadores web en un software de máquina virtual, que actuaría como buffer aislando el malware de las máquinas anfitrionas. De esta manera, los usuarios se convertirían en sensores que protegen las redes empresariales.
“Los usuarios se infectan visitando sitios web 2.0”, explica Ghosh. “Las páginas aparentemente seguras también se están viendo comprometidas. Tiene que ver con la web 2.0 y con sites donde los usuarios contribuyen con contenidos. Los usuarios pueden poner en ellas Java script tan fácil como si fuera HTML. Ahora hay muchas infecciones que proceden de Facebook y Blogspot. Los usuarios finales no tienen que pinchar en un enlace y seguir un hilo. Con un ataque tipo drive-by, no se necesita engañar al usuario. Simplemente visitas tu página web favorita y te infectas del software cargado por otro”.
La propuesta de Ghosh se denomina Internet Cleanroom (sala blanca para Internet) y crea bajo demanda una máquina virtual de único uso cuando se necesita para navegar por Internet y luego desaparece después de utilizarse. Ese sensor proporcionaría posteriormente información sobre ataques de malware a una base de datos que recopila los sites que intentan romper el entorno virtual del usuario. Internet Cleanroom se comercializa a través de la start-up llamada Secure Command.
“Ahora pretendemos convertir a nuestros usuarios –hasta el momento nuestros enemigos – en sensores”, explica este ingeniero. “Queremos convertir a todos los usuarios en un sensor colector para ver lo que pasa ahí fuera. Estamos utilizando el navegador porque es la pieza de software que todo el mundo utiliza. Y es una pieza de software atacada”.
Ghosh reconoce, no obstante, que su propuesta requiere un trabajo extra porque los usuarios deben ejecutar software virtual en sus sobremesas, si bien considera que su herramienta es una solución más eficaz contra los ataques drive-by download que los planteamientos basados en firmas utilizados hoy en día. “Capturamos el ataque en todas las webs donde se infecta un usuario. Es muy raro que haya una firma existente”.
