1

Los servicios recurren a la ayuda del público para detectar programas maliciosos

La seguridad con ayuda del público, un sistema que recoge las opiniones de participantes individuales para identificar nuevas amenazas, está ganando impulso, con aplicaciones que abarcan desde combatir programas maliciosos y bloquear el correo indeseado hasta filtrar sitios.

Domain Tagging de OpenDNS, presentado en febrero, es el último ejemplo de que en la unión está la fuerza. Ese servicio gratuito para filtrar la Web permite a sus suscriptores bloquear sitios en categorías que ellos escogen. Pero en vez de una compañía decidir si un sitio es malicioso, pornográfico o de mal gusto, cualquier voluntario puede ayudar a filtrar el material.

[<img border="0" src="/pcwla2.nsf/0/2E772C6DA39E7114852574130078A52E/$File/pag41culebrasabr08.gif">]

La tendencia tiene un gran alcance. Google lanzó un sitio el otoño [boreal] pasado donde cualquiera puede reportar un sitio que considere malicioso (www.pcwla.com/buscar/08044101). Una vez que Google verifica el informe, agrega el sitio corrompido a una lista negra compartida. Otros servicios gratuitos y comerciales para investigar ataques, identificar programas maliciosos y bloquear el correo indeseado también utilizan el poder del público.

Nosotros contra ellos

El movimiento está alcanzando popularidad justo a tiempo. Un problema con el intercambio tan libre de información es que en sitios como VirusTotal (donde los usuarios pueden examinar archivos sospechosos y compartir nuevos hallazgos), los malhechores también pueden utilizar la información (www.pcwla.com/buscar/08044102).

“Los buenos tienen que aportar más que los malos para poder contrarrestarlos”, dice Johannes Ullrich, funcionario principal de investigación del Internet Storm Center (ISC). El servicio gratuito D-Shield del centro analiza los datos de los cortafuegos de usuarios para investigar los intentos de ataque. Con alrededor de mil cortafuegos investigados, el centro entonces puede identificar una máquina que corre riesgo y alertar a su propietario.

El PhishTank de OpenDNS (www.pcwla.com/buscar/08044103), que debutara en 2006, identifica los sitios de phishing según las aportaciones de los usuarios y el análisis comunitario. Como resultado, los sitios identificados son bloqueados por las personas que usan OpenDNS para consultar los nombres de dominios. El servicio Domain Tagging, que amplía la idea de PhishTank, permite a cualquier persona que se inscriba presentar un sitio en una categoría, como la de las redes sociales.

Otros usuarios entonces votan por ese candidato y, si suficientes personas lo aceptan, el sitio entonces forma parte de las listas de dominios identificados. Para evitar que los malhechores cataloguen incorrectamente o intenten perjudicar el sistema, los votos de los usuarios de confianza pesan más que los de personas cuyas aportaciones no han sido aceptadas.

“Valerse de una comunidad cuesta menos, es más completo y más actual”, dice David Ulevitch, ejecutivo principal de OpenDNS.

Vendedores: los necesitamos

Al reportar un sitio sospechoso a Google, cualquier internauta actúa como perro guardián de la Internet, pero hacerlo es un acto más bien altruista, ya que el beneficio no se ve de inmediato. Sin embargo, el futuro navegador Mozilla Firefox 3 (www.pcwla.com/buscar/08044104), utilizará la lista negra de Google para bloquear los sitios maliciosos conocidos.

[<img border="0" src="/pcwla2.nsf/0/2E772C6DA39E7114852574130078A52E/$File/pag42opendnsabr08.gif">]

McAfee emplea la información compartida de VirusTotal. La compañía recibe más de 200.000 muestras al mes de ese sitio, dice Dave Marcus, gerente de investigaciones de seguridad y comunicaciones de los laboratorios McAfee Avert. Agrega que las compañías antivirus también comparten las miles de muestras que reciben directamente de los usuarios.

Marcus observa que el aumento en la participación de los usuarios llega en un momento crucial, ya que las amenazas dirigidas expresamente están creciendo. “Las aportaciones de los usuarios son más importantes que nunca”.

Cuando usted envía una muestra de virus, los motores antivirus y los laboratorios lo analizan para decidir si es malicioso. Pero con el correo indeseado, muchas veces sus ojos son la mejor herramienta analítica disponible.

Aunque los filtros automáticos en los servidores y en los clientes de correo electrónico pueden detener parte de la propaganda postal, los remitentes de correo indeseado suelen probar su basura para asegurarse de que pase por los filtros automáticos antes de enviarla. Para combatir esa táctica, varias herramientas exitosas, como las que emplean generalmente las compañías basadas en la Web y los proveedores de correo como Cloudmark, utilizan el poder colectivo de millones de ojos humanos.

“El correo indeseado siempre se va a colar”, dice Jamie de Guerre, funcionario principal de tecnología de Cloudmark. “Por lo tanto, es cuestión de ver con qué velocidad puede responder la herramienta que lo combate”.

El sistema de Cloudmark permite a los usuarios pulsar un botón llamado ‘This is spam’ [‘Esto es basura’] cuando reciben una propaganda postal. Cuando alguien lo hace, la opinión de esa persona se suma a las de otros usuarios, basándose en un sistema de huellas digitales que puede identificar un mensaje aunque cambien algunas palabras o unos píxeles de la imagen.

Al igual que en el sistema de filtro de OpenDNS, cada usuario de Cloudmark tiene su propia reputación. Si el resto de la comunidad coincide con sus evaluaciones, usted se gana una reputación alta. Si otros usuarios frecuentemente no están de acuerdo con sus veredictos (lo cual sugiere que usted podría ser un remitente de correo indeseado que trata de perjudicar las calificaciones), su reputación bajará.

Los sitios y las herramientas que utilizan la ayuda de los usuarios están trabajando en conjunto para construir una seguridad genuina que beneficie a toda la comunidad de Internet. “Forman una parte muy importante de la seguridad de Internet”, dice de Guerre.

No hay honor entre ladrones: Un grupo marroquí está ofreciendo kits de “phishing” gratuitos para aspirantes a estafador, pero el kit envía a sus cabecillas marroquíes la valiosa información que recopila.

-Por Erik Larkin

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *