EF483 - Eurofach Electrónica

INVESTIGACIÓN 48 mación que se recoge de la ejecución del programa se utiliza para detectar malware. La fase de detecciónmonito- riza el programa bajo inspeccióndurante la ejecución (proceso) comprobando las inconsistencias con las que aprendió en la fase de entrenamiento. En la detección estática de malware basada en anomalías se utilizan las características sobre la estructura (composición de bytes) del fichero del programa bajo inspección para detectar malware. Una ventaja de este tipo de detección es que su uso puede hacer posible para detectar malware sin tener que permitir la ejecución en el sistema/dispositivo de com- putación del programa que puede transportar el malware. La detección de malware basados en firmas (pue- den ser de enfoque estático, dinámico o híbrido) utiliza su caracterización de lo que se sabe es malicioso para decidir por comparación la maldad de un programa (que puede causar daños software-firmware-hardware, vidas humanas, desastres medio ambientales, robos, secuestros, etc.) bajo inspección. Esta caracterización o firma del comportamiento malicioso es la clave de la efectividad del meca- nismo de detección basado en firma. El enfoque concreto o análisis de un mecanismo basado en firma o basado en anomalías se determina por cómo el mecanismo recoge información para detectar el malware. El enfoque o análisis estático utiliza sintaxis o propiedades estructurales del programa/estático o proceso/diná- mico bajo inspección para determinar su maldad. Por ejemplo, un enfoque estático para la detección basada en firma sólo utiliza información estructural (por ejemplo, secuencia de bytes) para determinar lamaldad, mientras que un enfoque dinámico utiliza información en tiempo de ejecución (por ejemplo, sistemas vistos en la pila de tiempo de ejecución) del PUI (ProgramUnder Inspection). Un enfoque estático intenta detectar malware antes de que se eje- cute el programa bajo inspección. Un enfoque o análisis dinámico intenta detectar comportamiento malicioso durante la ejecución del programa o después de la ejecución del programa. En el método híbrido se utiliza informa- ción estática y dinámica para detectar el malware. Una firma (en la técnica de detección basada en firmas) debería poder identificar cualquiermalware que muestre el comportamiento malicioso especificado por su firma. Las firmas requieren de un almacenamiento o repositorio que representa todo el conocimiento que existe y que permite detectar el malware. Se busca en el repositorio cuando el mecanismo de detección del malware intenta valo- rar si el programa bajo inspección o PUI contiene una firma conocida del malware. Una vez creada una firma se añade al repositorio de firmas. El principal inconveniente de la detección basada en firmas es que no puede detectar malware 0-day que son los que no tienen firma almacenada en el repositorio. Como ventaja el número de falsos positi- vos y negativos es despreciable. La detección dinámica basada en firmas está caracterizada por utilizar sólo información durante la ejecución del PUI para decidir su maldad. La detección basada en firmas dinámica busca patrones de comportamiento que revelan el verdadero intento mali- cioso del programa inspeccionado. La detección estática basada en firmas se encuentra caracterizada por exa- minar el programa bajo inspección en busca de secuencias de código que deberían revelar el intento malicioso del programa. El objetivo es acceder al código que representa el compor- tamiento del programa. El análisis estático de este código proporciona un enfoque alternativo al comportamiento en tiempo de ejecución del ejecutable bajo inspección. Las firmas se repre- sentan por secuencias de código. Los mecanismos de detección basados en firmas utilizan este conocimiento (por ejemplo, secuencias de instrucciones consideradas responsables de aportar un comportamiento malicioso) y com- paran el PUI con las firmas conocidas en busca de una posible coincidencia. FRENTES DE ATAQUE-DEFENSA A LA HUMANIDAD Nuestro mundo se encuentra rodeado de infinitos riesgos/peligros y es sus- ceptible de ser atacado desde cinco diferentes frentes que deben prote- gerse adecuadamente: (1)Por tierra. Utilizando revueltas civiles, terrorismo, incendios, guerras con militares, soldados del ejército de tierra con artillería, carros de com- bate, bombas, etc., uso de armas sónicas y armas basadas en señales electromagnéticas de alta y baja frecuencia definidas por software, cañones de plasma y rayos Tesla,