Las pruebas de fugas como método para evaluar la efectividad de un cortafuegos

Kaspersky Lab, el líder en la producción de sistemas de defensa contra software nocivo e indeseable, ataques de hacker y spam anuncia la publicación de un artículo analítico perteneciente a la pluma del subdirector del departamento de tecnologías innovadoras, Nikokay Grebénnikov. Se titula “Las pruebas de fugas como método para evaluar la efectividad de un cortafuegos”.

En el artículo se trata de la importancia de los cortafuegos (firewall) como uno de los elementos de la seguridad informática. También se habla de los principios y métodos usados para realizar una de las pruebas más objetivas de los cortafuegos: las pruebas de fugas.

Nikokay Grebénnikov señala que la importancia de las pruebas de fugas como método para evaluar la efectividad de los cortafuegos crece junto con la aceleración del ritmo de creación de nuevos programas nocivos.

Los cortafuegos permiten bloquear él tráfico no deseado en redes, tanto entrante como saliente. De esta manera, un cortafuegos brinda una “capa” adicional de protección que bloquea aquellos programas maliciosos que no hubiesen sido detectados por el componente antivirus del sistema integrado de seguridad. Esta situación puede presentarse si la descripción de un programa malicioso aún no ha sido añadida a la base de datos antivirus (por lo que la protección tradicional en base a signaturas no funcionará), mientras el programa no demuestre de manera inequívoca un comportamiento hostil o incluso sospechoso (y por lo tanto el analizador de comportamiento tampoco lo detecta).

Un cortafuegos interpone una “pared” que separa las aplicaciones en el ordenador del usuario de otros ordenadores en la red local y en Internet. Para aplicaciones conocidas o fiables, existen reglas que permiten que estas aplicaciones transfieran datos al exterior a través del cortafuegos. Cuando otra aplicación trata de establecer actividades en la red, estas se bloquean (“se estrellan contra la pared”) y no puede transmitir datos al exterior, ni recibir datos del otro lado de la pared.

¿Contra qué tipo de programas maliciosos puede proteger un cortafuegos? En realidad, contra cualquier programa malicioso en vigencia. Esta afirmación puede parecer demasiado audaz, pero es correcta: la operación de la mayoría de los modernos programas maliciosos se basa en actividades en la red y por lo tanto el cortafuegos puede neutralizarlos.

En vista de esta alza en popularidad de los cortafuegos, los autores de programas maliciosos están recurriendo activamente a las fugas para vulnerar su protección.

Un cortafuegos es un sistema de seguridad difícil de sortear. Para evadir la protección antivirus y el bloqueador de comportamiento, los autores de programas maliciosos pueden poner a prueba sus nuevos productos realizando todos los cambios necesarios hasta que ambos componentes de seguridad fallen en la detección del código malicioso. Resulta muy difícil superar un cortafuegos con dicho método. Si un programa requiere de cierto tipo de actividad en la red, resulta muy difícil ocultar esta actividad al cortafuegos. La única manera de hacerlo es a través de fugas.

Una fuga (en inglés “leak”) es una tecnología para burlar los mecanismos de control de actividades en la red que posee un cortafuegos; dicha tecnología permite que las aplicaciones que no estén sujetas a ninguna restricción en la lista de reglas del cortafuegos logren enviar datos fuera de la red. El cortafuegos no puede impedir que estos datos se envíen y, en el modo de entrenamiento, tampoco informa al usuario sobre esta actividad en la red.

Un cortafuegos bien diseñado no debería permitir ninguna fuga. Debería ser capaz de identificar todo intento de actividad entrante y saliente en la red.

El análisis de la efectividad de la protección del cortafuegos contra fugas de datos se realiza mediante pruebas de fugas – pequeños e inofensivos programas que implementan una o más fugas. Tales programas los desarrollan, por lo general, investigadores y expertos en seguridad.

¿Qué beneficios ofrecen las pruebas de fugas en las pruebas comparativas de cortafuegos que las usan? Ante todo, estas pruebas ayudan a determinar la calidad integral de la protección y facilitan la elección de un sistema integrado para la protección del ordenador del usuario. Un buen rendimiento en las pruebas de control de datos salientes significa que el cortafuegos no es un mero componente de relleno en un producto antivirus, sino que brinda un nivel adicional de protección capaz de prevenir que los datos confidenciales del usuario sean enviados a delincuentes cibernéticos, incluso si los componentes antivirus fracasan al neutralizar un programa troyano.

En la opinión de Nikokay Grebénnikov, los productos que recibieron las calificaciones de Muy Bueno y Excelente en las pruebas de fugas conducidas por http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php brindan adecuada protección al usuario. Si la protección brindada por un producto recibió la calificación Bueno, o peor aún, Pobre o Muy Pobre, significa que los autores de programas maliciosos pueden vulnerar, mediante cualquier método, el cortafuegos incluido en el producto.

Hoy en día, un cortafuegos es un componente indispensable en los sistemas integrados de seguridad informática. Aun los más modernos sistemas operativos, como Windows Vista, no pueden bloquear por sí mismos todos los tipos de fugas (aunque desde Windows XP SP2, Windows ha venido introduciendo un cortafuegos cuya funcionalidad se ha incrementado de manera significativa en Windows Vista). Pero según los resultados de una prueba que Guillaume Kaddouch condujo en marzo 2007, Windows Vista Ultimate 64-bit bloqueó sólo 9 pruebas de fugas con su configuración predeterminada (las pruebas de fugas bloqueadas aparecen en verde en la tabla de resultados).

El autor del artículo afirma que el nuevo sistema operativo está a todas luces mejor protegido gracias a numerosas mejoras, incluyendo UAC, IE modo protegido, Service hardening y Kernel Patch protection (Vista x64). Sin embargo, incluso Windows Vista necesita protección de terceras partes para lograr el nivel necesario de protección contra fugas.

Para concluir, Nikokay Grebénnikov dice que en el futuro, los programas maliciosos recurrirán a nuevos métodos para vulnerar los mecanismos de protección del nuevo sistema operativo y los mecanismos de protección existentes. Esta es la razón por la que la función del cortafuegos como un nivel adicional de protección continuará cobrando importancia. Resulta evidente que los autores de programas maliciosos no cesarán en el uso de tecnologías de fugas para vulnerar los cortafuegos. Esto significa que las pruebas de fugas se convertirán en un método crucial para comprobar la confiabilidad de la protección de un ordenador.