Softavir: Un antivirus para Windows basado en listas blancas

En esta entrada voy a comentar muy brevemente cómo han ido evolucionando los sistemas antivirus hasta la actualidad y los problemas que han ido surgiendo hasta llegar a la tecnología Softavir (cryptographic whitelisting).

Los sistemas antivirus tradicionales utilizan listas negras para la detección de malware. Esto quiere decir que permiten el funcionamiento de todos los programas salvo aquellos que tienen en una lista de software clasificado como malicioso.
Obviamente, esta política funciona muy mal cuando se trata de malware desconocido.

En un intento por mejorar el sistema y ofrecer protección frente a nuevas amenazas se utiliza también la heurística en combinación con listas negras. La heurística permite detectar amenazas similares a las ya conocidas y funcionó más o menos bien hasta la actualidad.


Actualmente se conocen diversos problemas en la política de lista negra que provocan, como bien se comenta en el libro "Hacking exposed: Malware and Rootkits", que haya que cambiar y buscar otro tipo de soluciones.

Entre estos problemas se pueden citar algunos como los siguientes:


 - Las bases de datos de los antivirus tradicionales crecen desmesuradamente de manera que no se pueden mantener debido a la aparición constante de nuevas amenazas.

 - Cuando un desarrollador de malware, crea un malware muy pequeño, los antivirus tradicionales tienen problemas para añadirlo a la lista negra ya que una firma tan poco característica, produce falsos positivos en software legítimo.

 - Las mafias dedicadas al desarrollo y mutación de malware han conseguido acortar su ciclo de vida y dejar un paso por detrás a los antivirus. Cuando un malware es detectado, otro nuevo o una mutación es la que está infectando a los usuarios.

 - La heurística tiene serios problemas para detectar malware nuevo ya que tiene un tiempo y unos recursos limitados para hacerlo (no puede detener la ejecución de un programa un minuto ni tampoco consumir mucha CPU, RAM, etc...). ¿Qué pasa si un malware se porta bien durante el primer minuto de ejecución? ¿Puede la heurística luchar contra los complejos sistemas criptográficos, empacadores y mutaciones de malware?

Para solucionar esta serie de carencias nace Softavir, el software antivirus que basa su tecnología en listas blancas. Esto quiere decir que prohíbe la ejecución de todos los programas salvo aquellos que estén en la lista de conocidos como benignos. El antivirus protege también de dlls maliciosas, con lo cuál el hooking ahí está también incluído. Y la lista blanca consiste en un XML en el que se incluyen los hashes de los binarios.

El malware no puede engañar a la lista (esto lo garantiza el algoritmo criptográfico SHA256).


No requiere actualizaciones, apenas consume recursos por no requerir heurística y protege totalmente frente a nuevas amenazas ya que estas no están en la lista de software permitido.

Si después de leer esta entrada deseas protegerte con Softavir, puedes hacerlo utilizando el siguiente enlace:


http://www.softavir.com/

Comentarios

  1. Interesante pero que diferencia hay con un firewall personal qué te avisa cuando ejecutas un binario nuevo? Añade algo nuevo? Yo creo que no...y no es gratuito ni de código abierto....

    ResponderEliminar
    Respuestas
    1. Los firewalls bloquean conexiones de red o procesos que intentan hacer conexiones de red. Softavir te permite controlar la creación de procesos. A groso modo, la diferencia es que el firewall protege tu red y Softavir tu equipo.

      Eliminar
  2. Vamos, que basta que confíes en un nuevo programa que descargues, y quedes infectado. Mala idea, señores.

    ResponderEliminar
  3. ¿El XML va en plano? ¿Se protege de alguna forma? Si no, es fácilmente manipulable; igualmente, sólo tienen de momento versión x86, y no parece producto "maduro" -aún supongo- para empresas, si no destinado a uso doméstico simple.
    No obstante, ya hay algunos más que hacen lo mismo, y me atrevería a indicar que de forma más "completa"

    ResponderEliminar
    Respuestas
    1. Si no hay ejecución no hay modificación por eso está protegida la lista. Que esté en un formato estándar es mas un pro que una contra.

      Eliminar
  4. Respuestas
    1. ¿A qué precio? Softavir está a 9,99€

      Eliminar
  5. Muchas gracias a Hackplayers por publicar esta entrada en su blog. Estamos recibiendo muchas visitas. Gracias también a la comunidad.

    ResponderEliminar
  6. La idea es buena, pero claro, se han querido quitar el muerto de encima y dejar la responsabilidad a lo confiado que sea el usuario
    me pensaba que el sistema se actualizaba solo con las aplicaciones conocidas y testeadas como seguras, por tanto la empresa tenia el trabajo inverso que el de las empresas antivirus,
    pero nada de eso, tu pones lista blanca, y si te mismo te cuelas algo, culpa tuya...
    algo tan simple debería costar 1€ o ser gratis,

    ResponderEliminar
    Respuestas
    1. Hemos hecho algunas pruebas agregando virus FUD (full undetected) a la lista y ejecutándolos en el equipo. Enseguida han cambiado los hashes del resto de binarios debido a la infección con lo cuál la infección se ha detectado al momento.

      Eliminar
  7. Mmmmmm no sirve, la idea es proteger al usuario, si yo descargo algo, que me diga si tiene o no virus, esto no dice nada.. La mayoria de la gente se infecta por instalar algo que por lo general no tiene instalado, y como saber si confiar o no?? Muy mala idea..

    ResponderEliminar
    Respuestas
    1. Si descargas algún malware no solamente te avisa sino que además no se ejecuta. La idea de Softavir es meter en la lista blanca solamente aquello en lo que confías, descargándolo de fuentes fiables. Cualquier otra política es muy mala idea desde el punto de vista de la seguridad. Ningún antivirus puede garantizar que algo que descargas no sea malware, ese es el problema de fondo y la razón por la cuál usar una lista blanca.

      Eliminar
    2. Hemos hecho algunas pruebas agregando virus FUD (full undetected) a la lista y ejecutándolos en el equipo. Enseguida han cambiado los hashes del resto de binarios debido a la infección con lo cuál la infección se ha detectado al momento.

      Eliminar
  8. Sin duda es una funcionalidad nueva bastante útil, y más para gente como yo que apenas le hace caso al firewall jajaja. Muchas gracias por compartir esta info, ahora le echo un vistazo al antivirus de Windows que comentas.

    ResponderEliminar

Publicar un comentario