El malware se propaga cada vez más rápido, y de formas más ingeniosas. Resulta muy difícil encontrar algún ordenador que no tenga en su disco duro alguna de estas alimañas. Sin embargo, existe un proyecto que intenta desarrollar un algoritmo que, funcionando de forma similar al PageRank de Google, pueda identificar este tipo de código antes de que se instale en nuestro ordenador.
En realidad, no resulta en absoluto complicado crear una lista con las “firmas” de cada malware conocido e instalar en nuestro ordenador un software que busque en cada fichero que descargamos esos trozos de código. De hecho, hay un muy buen porcentaje del software de seguridad que funciona más o menos de esa manera. Pero el mecanismo descrito, conocido como “lista negra”, tiene una pega. En ese esquema se necesita conocer de antemano cual es el trozo de código malicioso que debemos buscar. Y, como es lógico, solo nos puede proteger de malware que ha sido previamente identificado y analizado en busca de su “firma” característica para crear la lista negra. Esto nos pone un paso por detrás de los creadores de malware, y siempre estamos indefensos ante las nuevas alimañas. Sin embargo, no se trata de una batalla perdida, ni mucho menos.
Existe un proyecto llamado DShield que intenta poner fin a esta situación de desventaja a la que se ven sometidos, cada día, millones de usuarios. El secreto del éxito de este sistema consiste en un análisis detallado que se efectúa sobre los logs (archivos que recopilan los eventos de seguridad ocurridos en los servidores) enviados a DShield. En base a su contenido, el sistema es capaz de generar predicciones específicas sobre los futuros ataques que tendrán lugar en cada servidor en particular. Algunos de los puntos importantes que toma en cuenta el sistema encargado de efectuar el análisis incluyen hechos conocidos, como que algunas fuentes de malware son más pertinentes (para un servidor determinado) que otras. El truco consiste en concentrarse en aquellos que figuran en los registros del cortafuego.
Los autores de DShield intentan determinar esto a través de un enfoque doble. La primera tarea consiste en realizar una evaluación de la fuente del malware y asignarle un puntaje, basándose en el potencial de daños que podría crear un ataque. El segundo aspecto tenido en cuenta es la evaluación de los efectos causados por el malware para mejorar el valor predictivo de las listas negras. Según afirman los creadores de DShield, existen patrones de ataque que se repiten en diferentes redes. Analizando los logs de un servidor, puede predecirse también la forma en que otro puede ser atacado. Como todo sistema basado en estadísticas, es posible que no garantice la protección de un servidor concreto, pero a gran escala, se podrían prevenir un gran porcentaje de los ataques. Esta clase de algoritmo es muy similar al empleado por los buscadores de contenido Web, entre los que se destaca el conocido sistema PageRank de Google. Si el éxito de Page Rank sirve como parámetro, es muy posible que oigamos hablar mucho sobre DShield en los próximos meses.