Krypton Solid

Cambiando la forma en que luchamos contra el malware

Microsoft se encuentra en una mina de oro absoluta de información. La Herramienta de eliminación de software malintencionado (MSRT) se ejecuta en miles de millones de computadoras en todo el mundo y cada proceso de actualización de Windows envía una gran cantidad de información de telemetría no personal a Microsoft Central. Estos datos podrían ayudar a las empresas de antivirus y a los investigadores académicos a desarrollar mejores formas de combatir el malware. En un discurso de apertura de la 9a Conferencia Internacional IEEE sobre software malicioso y no deseado (Malware 2014 en resumen), Dennis Batchelder de Microsoft explicó exactamente lo que el gigante del software pretende hacer con todos esos datos, y no es lo que puede esperar.

Compartir es bueno
En la conferencia del año pasado, Batchelder, como director de investigación en el Centro de protección contra malware de Microsoft, entró en detalles sobre lo que Microsoft puede determinar a partir de la enorme caché de datos que fluye desde el MSRT. Gran parte de las actividades actuales de su equipo se inspiraron en la discusión que surgió de esa presentación.

Batchelder abordó el problema centrándose en los ecosistemas de malware y antimalware. Los sindicatos criminales compiten por dinero y compran tecnología de proveedores cuasi legales: kits de explotación, redes de bots, lo que necesiten. Los proveedores de antimalware tienen su propio apoyo de investigadores, equipos de preparación para emergencias computarizados (CERT), fuerzas del orden, etc.

El problema, señaló Batchelder, es que los buenos no trabajan juntos de manera efectiva. Detalla una serie de áreas de fricción y los proyectos que Microsoft ha diseñado para hacer que el ecosistema antimalware sea más eficiente.

Evacuación digital
Los estudios han determinado qué drogas son populares en diferentes ciudades al analizar el contenido del alcantarillado, dijo Batchelder. Afortunadamente para nosotros, el proyecto de escape digital adecuado no es tan repugnante. Batchelder tiene como objetivo expandir la protección y la detección al encontrar socios cuyos esfuerzos ya están produciendo información sobre actividades maliciosas como efecto secundario y convirtiendo esta información en algo más.

Un ejemplo de un socio en esta iniciativa sería el equipo de protección contra el fraude en un banco o institución financiera. Estos grupos ya tienen elaborados algoritmos que les ayudan a determinar si un cargo inesperado está realmente de vacaciones o si su cuenta ha sido pirateada. Microsoft propone que el equipo de fraudes comparta sus hallazgos y, a cambio, obtenga datos correlacionados de esa mina de oro de telemetría que mencioné. Los socios que se preparan para interactuar con Microsoft incluyen Yahoo, Yandex, Facebook y Amazon.

Alianza de software limpio
¿Su antivirus ha informado alguna vez de un «Programa potencialmente no deseado»? Microsoft ha renunciado a la palabra «potencial» porque en realidad no es deseada por casi todos los usuarios. Los mayores culpables de su propagación son los descargadores. Quiere descargar una herramienta, tal vez WinZip. Pero cuando lo intentas, obtienes cinco o seis ofertas para una barra de herramientas, un complemento, un códec, algo diferente a lo que querías.

En lugar de escribir firmas y eliminar estos programas no deseados, Clean Software Alliance de Microsoft es un plan para alentar a estos reempaquetadores a limpiar sus negocios. Aquellos que estén de acuerdo en no agregar software cuestionable pueden mostrar el logotipo de Clean Software Alliance. De los 75 proveedores identificados por Microsoft, 47 fueron contactados y 44 aceptaron participar, dijo Batchelder.

Este programa no es algo que Microsoft pueda considerar, señaló Batchelder. La empresa ha encontrado un socio dispuesto en la Organización de Estándares de Prueba Anti-Malware (AMTSO). Con el apoyo de Microsoft, AMTSO ahora gestiona la iniciativa CSA.

Erradicación coordinada de malware
Las fuerzas del orden y las principales organizaciones de seguridad están persiguiendo redes criminales internacionales y redes de bots que afectan a los usuarios de todo el mundo. A veces tienen suficiente evidencia y enlaces para acabar con los malos. Y a veces se pisan. Batchelder señaló varias situaciones embarazosas en las que el éxito de Microsoft en la eliminación de una red maliciosa ha dañado el trabajo realizado por otros grupos.

¿La solución? Erradicación coordinada de malware. Microsoft y sus socios están trabajando actualmente en varias eliminaciones coordinadas para varias redes de espionaje y fraude. Batchelder espera ejecutar 10 o 15 proyectos de este tipo a la vez.

Aprendiendo de los datos
Batchelder explicó que no tiene ningún interés en hacer de Microsoft la solución antimalware más grande, mejor o única. El propio análisis de la empresa muestra que la mejor manera de protegerse contra el malware es a través de una colección diversa de soluciones de seguridad. «Mi trabajo no es promover nuestro antivirus», dijo Batchelder. «Mi trabajo es proteger Windows y todos los usuarios de Windows».

Este es un sentimiento noble, seguro. Y la idea de que todos los buenos trabajen juntos para combatir el malware es definitivamente un soplo de aire fresco. Definitivamente estaré observando los proyectos Digital Exhaust, Clean Software Alliance y Coordinated Malware Erradicación. En cuanto a los investigadores académicos que se presentan en esta conferencia y conferencias similares, ahora pueden acceder a toda la base de datos de telemetría de Microsoft. No se sabe qué resultados nuevos y beneficiosos obtendrán al pasar estos datos mediante compresión analítica.

¿Te gusta lo que lees?

Matricularse en Vigilancia de seguridad boletín de noticias para las historias de privacidad y seguridad más importantes que se envían directamente a su bandeja de entrada.

Este boletín puede contener anuncios, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento Condiciones de uso y política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

Deja un comentario