A continuación os dejo el artículo número 6 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Divulgad que algo queda ;-).
Ambos contaban, obviamente, con un laboratorio (simplificando) que viene analizando históricamente todas las muestras de “malware” que sus distintas sondas/clientes les van haciendo llegar. Fruto del análisis en profundidad de cada una de las muestras por máquinas que automatizan, en la medida de lo posible, la búsqueda de código malicioso y de aportaciones puntuales de inteligencia de expertos analistas humanos, generaban los famosos ficheros de firmas a los que estamos acostumbrados por los mensajitos de actualización que lanzan todos nuestros antivirus de puesto de trabajo (se denominan así para diferenciarlos de aquellos antivirus que se despliegan en el perímetro de las organizaciones intentando contener la entrada de infecciones: antivirus de navegación web, antivirus de correo, y poco más) cada vez que se actualizan.
También coincidían en que ese modelo reactivo de contención de las amenazas basándose en el ciclo descrito y que finaliza con desarrollo de la firma/vacuna “está acabado” como estrategia de defensa, y que pervive en la práctica, y lo hará durante varios años más, porque los otros enfoques estratégicos (de los que hablaremos en futuros artículos) aún no han alcanzado la madurez suficiente para acabar con el primero. Aunque, como veremos, los pasos se van dando.
¿Por qué está “acabado” el modelo actual? La cifra concreta que daba cada uno de ellos difería pero el orden de magnitud era parecido: cada día llegan a sus laboratorios cientos de miles de muestras nuevas (en un solo día actual llegan tantas muestras como las conocidas hasta el año 2003. ¡Impresionante!), y el crecimiento es exponencial. Muchas de estas muestras son variaciones sobre el mismo código patrón, utilizadas por “los malos” para despistar a “los buenos”: mientras trabajan en ellas cabe la posibilidad de que se les escape un porcentaje bajo, pero suficiente, para seguir haciendo estragos.
¿Qué pasos están dando para contener esto? Todos se están centrando en un modelo de negocio de “Software como Servicio” (Software as a Service – SaaS). Concepto que cada vez vais a ir oyendo con más frecuencia, y que quiere decir lo siguiente: el software se monta en un servidor de internet y el servicio que antes prestaba cuando lo montabas en tu máquina ahora se presta desde allí. Puede servirnos como ejemplo un servicio al que nos hemos ido acostumbrando poco a poco y que hoy es abrumadoramente mayoritario: el correo web. Antes casi todos teníamos nuestro cliente de correo en nuestro PC, ahora casi todos utilizamos servicios como Gmail / Hotmail / Yahoo mail (perdón por los ejemplos concretos pero creo que es lo mejor para conseguir explicarme). Antes teníamos la música en nuestro ordenador, ahora utilizamos Spotify. Antes utilizábamos una “suite ofimática” ahora tenemos Google docs y la propia Office de MicroSoft en su versión 2010 está disponible como servicio en la web… en fin.
¿En qué consiste, y qué ventajas tiene, un antivirus en la nube? Si lo definiéramos en terminología industrial: acortar el ciclo de producción. Toda la inteligencia está ubicada en ese servidor que reside en Internet (la nube). Ese servidor, que en realidad es una granja de servidores muy potentes, maneja los millones de firmas conocidas en diferentes ficheros, y es capaz de correr, en tiempos infinitamente menores que los que consumirían nuestras máquinas, complejos algoritmos de detección heurística. Además se nutre de los envíos de cientos de miles de personas que han instalado un agente ligero (consume pocos recursos en nuestra máquina) y cuya comunicación con los servidores no podemos desactivar por lo malo (nos acabaríamos infectando) y por lo bueno (colaboramos con los demás). Y es que, cuando este agente ligero sospecha de algún fichero lo bloquea, lo envía a la granja de servidores para su análisis, y espera recomendación sobre si permite o no su ejecución.
¿Qué gana el usuario de estos nuevos servicios? Tiene un agente instalado en su máquina más ligero que los habituales, que da menos problemas y que se gestiona centralizadamente, dispone así de más recursos para su trabajo habitual (nuestro ordenador ya no va tan lento cuando le instalamos el antivirus), en local sólo permanecen las firmas que identifican a los virus que están en el “top x” (también conocidos como “wild list”), es decir, los que actualmente tienen un mayor índice de actividad. Pero eso no quiere decir que estemos desprotegidos, cuando nuestro agente detecta un proceso cuyo “comportamiento” es sospechoso lo bloquea y pide ayuda como hemos explicado.
A esa forma de trabajar en la nube, en la que todos nos acabamos ayudando a todos porque lo que me afecta a mí, lo comparto, y probablemente no te acabe afectando a ti, se la conoce como “inteligencia colectiva”. Bonito nombre…
…y extraña sensación cuando lo escucho por echadla tanto en falta. Supongo.