Métodos de defensa de los datos confidenciales en las soluciones modernas “Suites de seguridad”

Kaspersky Lab, el líder en el diseño de sistemas de defensa contra virus, hackers y correo no solicitado, anuncia la publicación del artículo de análisis del subdirector del departamento de nuevas tecnologías Nikolai Grebennikov “Métodos de defensa de los datos confidenciales en las modernas Suites de seguridad”. La versión completa del artículo está en Viruslist.com

El autor cuenta sobre la clasificación de los medios de robo de información confidencial y los métodos más efectivos de defensa. Existen tres métodos de robo informático.

El primero, cuando el usuario mismo envía sus datos al delincuente, al tragarse el anzuelo de una página web falsa, cuya dirección se suele propagar por envíos masivos de spam. Este método se llama phishing.

El segundo método de robo de información confidencial está basado en la vigilancia y protocolización de las acciones de los usuarios con la ayuda de programas troyanos de la familia Trojan-Spies (troyanos-espía)

También se pueden robar datos personales usando programas troyanos Trojan-PSW, destinados a buscar datos confidenciales en el ordenador y enviarlos al delincuente sin que el usuario se dé cuenta.

Los programas nocivos mencionados se propagan de diversas formas: mediante enlaces en los mensajes ICQ, adjuntos a mensajes de correo, por medio de secuencias de instrucciones en páginas web, etc. Su objetivo es reunir información sobre el sistema del usuario y contraseñas de diferentes programas y servicios.

Una vez recolectada la información, el programa troyano suele cifrarla para convertirla en un fichero binario de menor tamaño. Después de esto, puede enviarlo al delincuente por correo electrónico o a su servidor FTP.

Más adelante en el artículo se describen los principales métodos de defensa de los datos confidenciales en los antivirus modernos. En particular, se relata sobre las tecnologías que usan los productos antivirus de la compañía Symantec (Norton Personl Firewal y Norton Internet Security) y el producto Kaspersky Internet Security.

En casi todos los sistemas modernos de defensa completa (Suites de seguridad) se incluye un componente de defensa de la información confidencial, que por lo general se denomina "Control de privacidad" (Privacy Control). Su principal tarea es defender la información confidencial que se encuentra en el ordenador del usuario contra el acceso no autorizado y evitar que sea enviada a extraños. El principio de funcionamiento del “Control de privacidad” consiste en que el usuario, por su propia cuenta, agrega a una lista especial los datos que él considera personales y el componente de defensa analiza todo el tráfico saliente del ordenador, recortando o cifrando los fragmentos de información confidencial.

Esta tecnología se aplica en Norton 360, el producto de punta de Symantec, lanzado en 2007. Sin embargo, semejante forma de abordar la defensa de la información confidencial es absolutamente ineficaz y sólo le da al usuario una falsa sensación de seguridad por dos razones. La primera es que el componente Privacy Control no puede bloquear el flujo de datos confidenciales en los sitios web protegidos, ya que estos funcionan con un protocolo que cifra todos los datos enviados. Esto no da a ningún tercer programa la posibilidad de analizar el flujo, y no hay nada que impida a los programas troyanos enviar en un flujo cifrado cualquier información confidencial desde el ordenador de la víctima. La segunda es que el guardar toda la información confidencial en un solo lugar es un método poco seguro de protección.

Existe un método alternativo de proteger los datos confidenciales. Este método se usa en el producto Kaspersky Internet Security 7.0 como uno de los subsistemas del componente "Anti-Espía", que analiza el comportamiento de todos los procesos en el sistema y al descubrir cualquier actividad sospechosa puede notificar al usuario o bloquear esas actividades en sus etapas tempranas.

Como ejemplo ilustrativo Grebénnikov describe la situación en que el programa troyano Trojan-PSW.Win32.LdPinch puede sin esfuerzo robar una gran cantidad de contraseñas y otros datos del ordenador que se encuentran bajo la “defensa” de la tecnología Privacy Control. En cambio, el sistema de defensa basado en el análisis de las actividades de las aplicaciones en ejecución usado en Kaspersky Internet Security 7.0, permite bloquear tanto la recolección como el envío en secreto de los datos confidenciales recogidos en el ordenador del usuario por el programa troyano.

El autor llega a la conclusión de que, entre los dos métodos analizados, es mucho más efectivo el método basado en el análisis del comportamiento de las aplicaciones activas y el seguimiento de las actividades sospechosas. El método de defensa que usa una lista de datos confidenciales y que monitoriza que ningún fragmento de la misma aparezca en el tráfico de salida ha resultado ser considerablemente menos efectivo.