Existen muchos métodos por los cuales se puede detectar, eliminar y prevenir el malware. Algunos métodos no son más que sentido común mientras otros involucran cierta tecnología. La siguiente sección resalta algunos de estos métodos e incluye una breve explicación y brinda ejemplos.
Antivirus
El software anti-virus está disponible en varias versiones comerciales y también en Open Source. Todas funcionan con la misma metodología. Poseen una base de datos de las firmas de los virus y las comparan con los archivos del sistema para ver si existe alguna infección. A menudo con los virus actuales las firmas son muy pequeñas y pueden dar falsos positivos, es decir, detecciones que aparentan ser virus y no lo son. Algunos programas anti-virus utilizan una técnica conocida como “heurística”, que significa que en base al concepto de qué forma debiera tener un virus pueden determinar si un programa desconocido se adecua a este concepto. Recientemente los anti-virus han cruzado el umbral de los sistemas de prevención de intrusiones de host, verificando que no se produzcan anomalías en el funcionamiento de los programas estándar.
NIDS (Sistemas de detección de intrusos de red)
Los sistemas de detección de intrusos de red son similares a los anti-virus pero aplicado al tráfico de la red. Buscan en el tráfico de red firmas o comportamientos debidos a un virus o gusano. Pueden alertar al usuario atacado o detener el tráfico de red que intenta distribuir el malware.
HIDS (Sistemas de detección de intrusiones de host)
Los sistemas de detección de intrusos de host, tal como Tripwire, son capaces de detectar cambios realizados sobre archivos en un servidor. Es razonable esperar que un archivo una vez compilado no necesite ser modificado. Luego, mediante el control de sus características, tales como tamaño, fecha de creación y control de integridad pueden detectar inmediatamente si ha ocurrido algo irregular.
Firewalls (Cortafuegos)
Los gusanos se propagan por la red conectándose a servicios vulnerables en cada sistema. Además de asegurarte que estos servicios vulnerables no se estén ejecutando en tu ordenador el siguiente paso es verificar que tu firewall no permita conexiones a estos servicios. Muchos firewalls modernos realizan algún tipo de filtrado de paquetes similar a un NIDS lo cual frenará los paquetes que coincidan con ciertas firmas.
Sandboxes (Cajas de arena)
El concepto de sandboxes es simple: una aplicación o programa tiene su propio entorno para ejecutarse y no puede afectar al resto del sistema. Este concepto se implementa como estándar en el lenguaje de programación Java y también puede implementarse a través de otras utilidades como chroot en Linux. Esto restringe el daño que un malware pueda ocasionarle al sistema operativo anfitrión simplemente restringiéndole los accesos requeridos.
Otra opción es la de crear un ordenador virtual completo mediante un producto como VMWare. Esto aísla al ordenador virtual del sistema anfitrión limitando el acceso del mismo según lo haya configurado el usuario.
----------------------------------------------------------------------------------
0 comentarios:
Publicar un comentario