Seguridad y Java… ¿misión imposible?

¡Woo-hoo! Una vez más, los ciberdelincuentes han lanzado un torpedo contra Microsoft Office, aunque su ataque se ha ido al traste gracias a nuestra astuta protección cibernética.

Recientemente se descubrió un nuevo ataque: cuando el usuario abría un documento Word, se inyectaba un código malicioso en el equipo. Este incidente no hubiese llegado a los titulares de los medios a no ser por un detalle: era un ataque día zero que explotaba una vulnerabilidad ya conocida del programa, para la cual no había parches y la mayoría de antivirus no cubría. Pero, como ya habréis adivinado: ¡nuestro antivirus lo cazó a la primera!

¿Cómo fue posible? Nuestra tecnología de Prevención Automática de Exploits detectó un comportamiento anómalo y bloqueó proactivamente el ataque. Sin necesidad de actualizaciones, esperar o caos de ningún tipo. Un golpe directo.

Los ataques de día zero representan una gran amenaza hoy en día.

Debemos derribarlos con todas nuestras fuerzas. No obstante, muchos antivirus no sirven de nada contra estas campañas maliciosas, ya que la mayoría de estos productos se basan en las firmas, prometiendo (pero no cumpliendo) una protección contra las amenazas futuras. Por supuesto, para combatirlas se necesita capital humano y buenos recursos. No todos los proveedores disponen de estos dos factores  y esta tecnología no es, para nada, fácil de copiar.

Al contrario de los que opinaba Buddha y sus seguidores, la industria informática no puede vivir al día; en su lugar, necesita mirar constantemente hacia el futuro y prever lo que les pasa por la cabeza a los cibercriminales, mucho antes de que ocurra. Más o menos como sucede en la película Minority Report. Por este motivo, el término “proactividad” está siempre presente en nuestras agendas desde principios de los 90, cuando nos alejamos del resto de la multitud IT para, entre otras cosas, desarrollar un enfoque heurístico y nuestro emulador. ¡Adelantarnos a los hechos está en la genética de Kaspersky Lab!

Desde que se inventó esta tecnología y desde hace dos años aproximadamente, todas las funciones de seguridad se encuentran en la herramienta AEP (Prevención Automática de Exploits). Gracias a este sistema, hemos podido descubrir un sinfín de ataques dirigidos, entre los que se encuentran Red October, MiniDuke e Icefog.

Posterior y repentinamente surgió un interés insano en el programa Java de Oracle; pero, una vez más, nuestra herramienta de prevención automática de exploits entró en funcionamiento para combatir el posible ataque. Esto fue posible gracias al módulo Java2SW, diseñado especialmente para detectar los ataques realizados a través de Java.

Y después de esta introducción, permitidme que el resto de este post se lo dedique al módulo anteriormente mencionado.

El software de un ordenador común se parece, más o menos, a una colcha de patchwork: un gran número de parches con muchos agujeros. Regularmente se encuentran vulnerabilidades en un programa (cuanto más popular es, más vulnerabilidades se descubren) y las compañías fabricantes necesitan lanzar parches que cubran y solucionen dichos errores.

…Pero nº 1: los desarrolladores de software no lanzan parches directamente; algunos están en la recámara durante meses.

Pero nº 2: la mayoría de los usuarios se olvidan, o ni se preocupan, de instalar los parches; trabajando con un software agujereado.

Sin embargo nº 1: la gran mayoría de equipos en el mundo tiene instalado un producto antivirus.

¿Qué debemos hacer? ¡Simple! Sacar la artillería fuerte como Java2SW. ¿Por qué? Porque, de esta manera, matamos dos pájaros de un tiro en el reino de Java.

En líneas generales, desde el punto de vista de la seguridad, la arquitectura de Java es bastante avanzada.  Cada programa se ejecuta en un entorno aislado (JVM – Java Virtual Machine), bajo la supervisión de un Security Manager. Sin embargo, Java se ha convertido en víctima de su propia popularidad. No importa lo bien protegido que estuviese el sistema, antes o después (directamente proporcional a su fama), se encontraba una vulnerabilidad. Siempre se descubre algún punto flaco y todos los proveedores de software necesitan estar preparados para (i) desarrollar tecnologías de protección; (ii) reaccionar de forma rápida e (iii) informar a los usuarios sobre lo importante que es instalar los parches.

El quid de la cuestión es, en lo que a Java se refiere, que Oracle no ha hecho un buen trabajo en los puntos anteriores. De hecho, han sido tan chapuceros que los usuarios comenzaron a eliminar el programa de sus navegadores sin importarles las consecuencias a la hora de visualizar ciertas websites.

Juzgad vosotros mismos: el número de vulnerabilidades que se descubrieron en Java en 2012 fueron 52; en 2011, 59; en 2012, 60 y en 2013… 180 (y todavía no ha acabado el año). Del mismo modo ha aumentado el número de ataques contra este programa:

Entonces ¿qué hace tan maravilloso al módulo Java2SW y cómo evita los ataques contra las vulnerabilidades de Java? Además del agente de seguridad por defecto, añade a cada máquina virtual de Java un elemento extra que realiza análisis independientes en el código del software y lo bloquea en caso de descubrir una actividad sospechosa.

Esto es bastante difícil de realizar porque necesitamos tener acceso directo a la plataforma de Java. ¿Por qué? Porque desde el exterior, Java es bastante opaco y no se puede ver lo que sucede en el interior. Por ejemplo, el software puede ejecutar uno u otro proceso, pero nadie lo sabe. ¡Es un misterio! En cambio si miramos en el corazón del programa, es posible saber qué código se está ejecutando, qué permisos tiene, cuál es la fuente y un largo etcétera que nos ayudará a sacar nuestras propias conclusiones.

Gracias a su arquitectura, Java proporciona una buena cobertura de las diferentes plataformas (las aplicaciones de Java sin modificaciones pueden trabajar de forma virtual en cualquier sistema operativo). Con esta flexibilidad, se necesita muchas células grises capaces de desarrollar un sistema de protección ya que es necesario el acceso directo al corazón de la plataforma de Java y este tipo de cirugía nunca es sencilla. Otro aspecto positivo de Java2SW es su forma de trabajar conjuntamente con otros subsistemas de protección contra las vulnerabilidades.

Sobra decir que, hasta la fecha, no todos los antivirus disponen de esta cirugía de corazón inteligente. Mientras tanto, nuestra tecnología ya está haciendo su trabajo y, además, está pendiente de su patente.

Asimismo, el módulo envía información al System Watcher: el componente que recopila las señales de otros sensores antivirus, crea una imagen global y toma las decisiones óptimas para bloquear los ataques más sofisticados.

Así, incluso si el Security Manager está en peligro por un ataque (a los cibercriminales les gusta atacarlo), ¡no pasa nada! Podemos detectar y bloquear el ataque.

¿Es Java2SW la panacea para las vulnerabilidades desconocidas de Java?

Lo importante es recordar lo siguiente: Java2SW no detecta los ataques día cero y no desvela vulnerabilidades. De hecho, aunque parezca extraño, su efectividad se beneficia de ese hecho. Java2SW revela los exploits – el comportamiento anómalo del código- sin importarle dónde atacan. Así, no previene los agujeros en la colcha de pachtwork, pero gracias a ellos, bloquea los ataques.  De esta manera, no vamos en búsqueda de vulnerabilidades sino que protegemos a los usuarios de una forma más global.

¿El resultado?

En primer lugar, con un gran ratio de éxito, podemos proteger a los usuarios de los ataques desconocidos a través de las vulnerabilidades en Java. En otras palabras, añadimos un margen de seguridad en el tiempo transcurrido mientras se descubre una vulnerabilidad y se lanza un parche.

Además, incluso si un usuario pertenece a esa categoría de “pasotas” que prefieren no instalar los parches a tiempo, le protegemos de los ataques de todos modos.

Y después de todo esto…. Me despido de vosotros aunque no por mucho tiempo…