La detección basada en firmas es un método de funcionamiento de los antivirus y sistemas de detección de intrusos , en el que un programa, al visualizar un archivo o paquete , consulta un diccionario de virus conocidos compilado por los autores del programa. Si alguna sección del código del programa que se está viendo coincide con el código conocido ( firma ) del virus en el diccionario, el programa antivirus puede tomar una de las siguientes acciones:
Para lograr un éxito a largo plazo con este método, es necesario actualizar periódicamente el diccionario de virus conocidos con nuevas definiciones (principalmente en línea ). Los usuarios con mentalidad cívica y con conocimientos técnicos, después de haber descubierto un nuevo virus "en vivo", pueden enviar el archivo infectado a los desarrolladores de software antivirus, quienes estudiarán el virus, extraerán su firma y luego incluirán la firma recibida del nuevo virus en el diccionario.
Los programas antivirus basados en la definición de virus del diccionario generalmente analizan archivos cuando el sistema informático crea, abre, cierra o envía archivos por correo electrónico . Por lo tanto, los virus pueden detectarse inmediatamente después de que ingresan a la computadora y antes de que puedan causar algún daño. Cabe señalar que el administrador del sistema puede configurar un programa para el programa antivirus, según el cual se pueden ver (analizar) todos los archivos en el disco duro.
Aunque los programas antivirus basados en la definición del diccionario de un virus pueden, en circunstancias normales, ser bastante efectivos para detener los ataques informáticos, los creadores de virus intentan mantenerse medio paso por delante de dichos programas antivirus mediante la creación de "oligomorfos", " polimórficos " y los virus " metamórficos " » más nuevos en los que partes del código se reescriben, modifican, cifran o distorsionan de modo que es imposible encontrar una coincidencia con la definición en el diccionario de virus.
Un método de escaneo de hardware es escanear el flujo de datos en el camino con un dispositivo especial llamado coprocesador de contexto. [una]
Las firmas antivirus se crean como resultado de un análisis minucioso de varias copias de un archivo que pertenece a un virus. La firma debe contener solo líneas únicas de este archivo, tan específicas como para garantizar la mínima posibilidad de falsos positivos , la principal prioridad de cualquier empresa de antivirus.
El desarrollo de firmas es un proceso manual que es difícil de automatizar. A pesar de mucha investigación sobre la generación automática de firmas, [1] [2] el creciente polimorfismo (y "metamorfismo") de virus y ataques hace que las firmas sintácticas carezcan de sentido. Las empresas de antivirus se ven obligadas a liberar una gran cantidad de firmas para todas las variantes del mismo virus, y si no fuera por la ley de Moore , ninguna computadora moderna sería capaz de terminar de escanear una gran cantidad de archivos con tal masa de firmas en un tiempo razonable. Así, en marzo de 2006, el escáner Norton Antivirus detectó 72.131 virus y la base de datos del programa contenía unas 400.000 firmas. [2]
En su forma actual, las bases de datos de firmas deben actualizarse regularmente, ya que la mayoría de los antivirus no pueden detectar nuevos virus por sí mismos. Cualquier propietario de software basado en firmas está condenado a depender regularmente de las actualizaciones de firmas, que es la base del modelo comercial de los proveedores de antivirus e IDS.
La entrega oportuna de nuevas firmas a los usuarios también es un desafío importante para los proveedores de software. Los virus y gusanos modernos se propagan a tal velocidad que, cuando se libera la firma y se envía a las computadoras de los usuarios, es posible que la epidemia ya haya alcanzado su punto máximo y haya cubierto todo el mundo . Según los datos publicados, la entrega de la firma tarda entre 11 y 97 horas, según el fabricante, [3] mientras que, en teoría, un virus puede apoderarse de Internet en menos de 30 segundos. [3]
En la mayoría del software de seguridad, la base de datos de firmas es el núcleo del producto, la parte más valiosa y que consume más tiempo. Esta es la razón por la que la mayoría de los proveedores prefieren mantener sus firmas en privado, aunque hay una serie de software de código abierto en esta área (por ejemplo , ClamAV ), así como investigaciones sobre ingeniería inversa de firmas propietarias. [4] The Virus Bulletin publicó regularmente nuevas firmas de virus hasta el año 2000 .
El método de escaneo heurístico está diseñado para mejorar la capacidad de los escáneres para aplicar firmas y reconocer virus modificados en los casos en que la firma no coincida con el cuerpo de un programa desconocido en un 100 %. [4] Sin embargo, esta tecnología se usa con mucho cuidado en los programas modernos, ya que puede aumentar el número de falsos positivos.