Tu computadora con Windows debería, si eres sensato, ya tener defensas formidables en forma de anti-malware avanzado.

Sin embargo, ahora estamos entrando en una era de computación en la nube, llena de applets descargables, en un momento en el que también estamos luchando en una intensa carrera de armamentos contra los escritores de malware cada vez más ingeniosos..

Debido a esto, las defensas de su PC tienen que manejar el código de muchas fuentes y aún protegerlo de amenazas externas.

¿Cómo es esto posible, y qué formas han encontrado los malos para frustrar estos esfuerzos? Lo más importante es cómo puedes estar seguro de que tu computadora solo ejecuta lo que crees que está ejecutando.?

Iniciando sesión

A diferencia de las aplicaciones compradas a proveedores confiables, cuando descargas applets o programas gratuitos creados por individuos, no hay forma de que el usuario promedio (o incluso el profesional de la seguridad) pueda estar seguro de que el software que creen que se está ejecutando no es algo completamente distinto..

Con la carrera de armamentos entre los desarrolladores y los piratas informáticos que ahora se está acelerando, podría tomar más que solo un avanzado software antivirus para igualar el estado del arte en programación maliciosa. Afortunadamente, Windows tiene una forma ingeniosa de protegerse. Este es el sistema Authenticode de Microsoft..

Habrá visto evidencia de Authenticode en acción cuando intente instalar software que no haya pasado por un proceso conocido como firma. Aparece una ventana emergente de advertencia que explica que no se pudo verificar el editor del programa de instalación y que le ofrece la oportunidad de detenerlo..

Firma unica

Los programas se firman utilizando un algoritmo de cifrado como RSA. Esto utiliza una clave de cifrado disponible públicamente para crear un código de firma único global que describe el programa que se está verificando. Al ser público, cualquiera puede obtener la clave utilizada para firmar el código.

El sistema operativo lo obtiene, genera su propia copia de la firma y la compara con la suministrada con el programa. Si coinciden, el código es lo que el proveedor dice que es, y se puede permitir que se ejecute.

Estas claves de cifrado son propiedad de varias compañías de seguridad grandes y confiables (autoridades de certificación) en forma de certificados digitales de acceso público que contienen los detalles de la compañía que emitió el programa que su sistema operativo está tratando de verificar, así como la firma única de el programa en si.

Si usted es un desarrollador, tener una autoridad de certificación que genere un certificado digital para demostrar que usted y su código pueden confiar es un proceso costoso e involucrado. Obtener un certificado comercial para su empresa significa probar sin lugar a dudas que usted es quien dice ser..

Según Microsoft, su presencia física puede ser solicitada como representante de su empresa para verificar su identidad con la identificación con foto. El negocio en sí también debe tener una calificación adecuada de Dun y Bradstreet. Esta calificación es una medida de la estabilidad financiera de su compañía e indica que, entre otras cosas, la compañía todavía está en el negocio. Esto evita que los piratas informáticos se hagan pasar por una empresa que ha dejado de realizar transacciones para obtener un certificado falso con fines maliciosos..

Finalmente, los solicitantes también deben comprometerse a no distribuir malware. Si esta medida final no es más que un servicio de labios, está en discusión..

Los desarrolladores individuales también pueden obtener un certificado personal para firmar sus productos. En este caso, no se requiere una calificación de Dun and Bradstreet, pero se verificarán sus credenciales en las bases de datos de consumidores para asegurarse de que usted es quien dice ser. En ambos casos, obtener un certificado generalmente le costará una buena cantidad de dinero.

Con tantas autoridades de certificación, vale la pena comparar precios para obtener la mejor oferta. Un certificado Microsoft Authenticode de un año de VeriSign, por ejemplo, le costará $ 499 (aproximadamente £ 250). Si espera que la gente descargue e instale su software después de un año, deberá renovar el certificado o su código volverá a estar sin firmar..

Claves publicas

Los lectores de Eagle-eyed podrían haber visto que el uso de claves públicas es el mismo mecanismo general que se usa para cifrar el correo electrónico y SSH, donde se usa para demostrar que el servidor al que está intentando establecer una conexión segura y cifrada es lo más importante. y no un dummy que se ha configurado para hojear nombres de usuario y contraseñas.

El principal problema con el código de firma es que el usuario promedio no tiene idea de lo que significa la ventana emergente asociada cuando no se puede verificar el editor del código. Existe una tendencia a arriesgarse a infectarse y dejar todo en manos del software antivirus, pero ¿qué sucede si esto no detecta un código malicioso??