Malware: ¿Listas Blancas más efectivas qué Listas Negras?

16 Dic 2008 en Seguridad

La firma Bit9 descubrió que una gran cantidad de 12 de las aplicaciones más populares no reciben los patches que emiten sus proveedores y son usadas a sabiendas de que presentan vulnerabilidades. Esas aplicaciones que los usuarios tratan negligentemente son:

1. Mozilla Firefox: 3.x, 2.x
2. Adobe Flash & Acrobat: Flash: 10.0, 10.0.12.36 y 9.0, 9.0.151.0
3. EMC VMware Player, Workstation y otros: ESXi 3.5 o anteriores, Workstation 5.5x, Player 2.0x & 1.0x
4. Sun Java Runtime Environment (JRE): Versión 6 Update 6
5. Apple Quicktime, Safari e iTunes: Quictime 7.5.5, Safari 6.0.5.20B; iTunes 3.2, 3.1.2
6. Symantec Norton Products: 2.7.0.1
7. Trend Micro OfficeScan: 8.0 SP1 anterior a build 2439; 8.0 SP1 Patch 1 anterior a build 3087
8. Citrix Deterministic Network Enhancer (DNE), Access Gateway y Presentation Server: DNE 2.21.7.233-3.21.7.17464; Access Gateway 4.5.7; Presentation Server 4.5
9. Aurigma Image Uploader; Lycos FileUploader: Aurigma 4.6.17.0, 4.5.70 y File Uploader 4.5.126.0
10. Skype: 3.6.0.248
11. Yahoo! Assistant: 3.6
12. Microsoft Windows Live Messenger: 4.7 y 5.1
El proveedor de soluciones de seguridad Bit9 propone un sistema de “listas blancas” o whitelisting, donde no se puede usar ninguna aplicación no autorizada en la red corporativa hasta que se le otorga permiso. Esto se contrapone a los sistemas de listas negras, donde se impide el funcionamiento a una aplicacióin que ya figure en ella. Aun cuando no se haya actualizado o patcheado una aplicación, si entra un malware a la red, no puede ejecutarse porque no estará en la lista blanca que así lo autoriza.
Symantec es otro proveedor que ha incorporado esta tecnología en sus productos Norton 2009 y ya trabaja en una tecnología basada en lo que se conoce como reputación.
Las listas blancas, así como las negras, fracasan donde se trata de archivos usados por poca gente o que son nuevos para una aplicación de nicho. En cambio, el sistema de reputación hace un seguimiento en tiempo real de lo ocurrido con aplicaciones que han sido descargadas en base a comentarios de los usuarios que lo han hecho. Esto protegería de nuevas aplicaciones inseguras cuyas firmas, al ser nuevas, no son reconocidas por listas, blancas o negras.