Inventan un sistema que detiene los virus antes que lleguen al PC

^"John Lockwood (Ph.D.) y los estudiantes graduados que trabajan en su laboratorio de investigación, han desarrollado una plataforma de hardware llamada Field-programmable Port Extender" (FPX), algo así como campo programable de extensión de puerto, que examina el malware transmitido por una red, filtrando y dejando fuera, los datos no deseados o potencialmente peligrosos.

"El FPX utiliza varias tecnologías patentadas para examinar las firmas de malware rápidamente," dice Lockwood. "A diferencia de otros sistemas ya existentes de intrusión de red, el FPX utiliza hardware, no software, para escanear rápidamente los datos. El FPX puede examinar todos y cada uno de los bytes de cada paquete de datos transmitido por una red, con una tasa de 2,4 mil millones de bits por segundo. En otras palabras, el FPX podría escanear cada palabra de todos los trabajos completos de Shakespeare en la sesentava parte de un segundo".

Lockwood publicó sus resultados en un documento (en inglés), descargable en formato PDF:

Los virus de computadoras y los ataques de gusanos de Internet, agravan, cuestan, y son una amenaza a la seguridad de un país. Recientes gusanos como Nimda, CodeRed, Slammer, SoBig y Blaster, han infectado computadoras de todo el mundo, atascando el tráfico de grandes redes y degradando la productividad corporativa. Puede tomar semanas o meses al personal informático, limpiar todas las computadoras conectadas a través de una red después de un ataque. El costo directo por la recuperación de sistemas atacados por la segunda versión del CodeRed por ejemplo, significó 2,6 mil millones de dólares.

Los cortafuegos existentes hacen poco para proteger contra tales ataques. Una vez que unos pocos sistemas ceden, los gusanos avanzan para infectar otras máquinas, y se extienden rápidamente a través de una red.

John Lockwood programando los datos que permiten al dispositivo frustrar la acción del gusano SoBig. Lockwood y sus estudiantes graduados, se han acercado el problema de los virus, vía hardware, en vez de software. Cuándo un virus o gusano es descubierto, el sistema puede detener silenciosamente todo tráfico malicioso, o generar un mensaje emergente en la computadora del usuario final.

"El caso es similar al de la extensión de una enfermedad contagiosa como el SARS; el número de computadoras infectadas crecerá exponencialmente a menos que sea contenida", dice Lockwood. "La velocidad de las computadoras actuales y el vasto alcance de Internet, hacen que un virus de computadora o un gusano de Internet, se propague mucho más rápidamente que las enfermedades humanas. En el caso del SoBig, más de un millón de computadoras fueron infectadas dentro de las primeras 24 horas y más de 200 millones la primera semana".

Hoy, la mayoría de los gusanos de Internet y los virus, no se propagan hasta que primero alcancen la computadora personal de un usuario final. Es difícil que las compañías, las universidades, y las agencias del gobierno mantengan la seguridad de toda la red mundial.

Injusta carga para usuarios finales

"Colocar toda la carga de la detección en el usuario final, no es eficiente ni confiable, porque las personas comunes, tienden a ignorar las advertencias acerca de instalar un nuevo software de protección y la última actualización de seguridad", indica Lockwood. "Nuevas vulnerabilidades son descubiertas a diario, pero no todos los usuarios se toman el tiempo para descargar los nuevos parches en el momento en que estos son anunciados. Puede tomar semanas para un departamento técnico, erradicar las versiones antiguas de un software vulnerable que se está ejecutando en las computadoras de un sistema final".

La alta velocidad del FPX es posible, gracias a la lógica utilizada, denominada "Field Programmable Gate Array" (FPGA), explica Lockwood. Estos circuitos FPGA, se utilizan en forma paralela para escudriñar y filtrar el tráfico de Internet, de gusanos y virus. El grupo de Lockwood ha desarrollado y ha aplicado circuitos que procesan los paquetes de protocolos de Internet (IP), directamente en el hardware. También han desarrollado varios circuitos que escanean rápidamente el flujo de los datos, en busca de cadenas o expresiones regulares, para encontrar las firmas que el malware lleva, dentro de la carga útil de los paquetes de Internet.

"En el FPX, el hardware se puede reconfigurar dinámicamente para buscar nuevas pautas de ataque desde la propia red", dice Lockwood. "Cuando un nuevo gusano de Internet o un virus es detectado, múltiples dispositivos de FPX se pueden programar inmediatamente, para buscar sus firmas. Cada dispositivo de FPX filtra entonces todo el tráfico que fluye por la red, de modo que inmediatamente es puesto en cuarentena cualquier gusano o virus, dentro de cada subred. Con solo unos pocos de tales dispositivos instalados entre subredes, se puede proteger a millares de usuarios. Instalando múltiples dispositivos en ubicaciones claves, se protegen grandes redes."

Una compañía de St. Louis, llamada Global Velocity, está construyendo sistemas comerciales que utilizan la tecnología FPX. Esta compañía trabaja con empresas locales, corporaciones internacionales, universidades, y con el propio gobierno norteamericano, para crear planes que permitan instalar estos sistemas, tanto en redes locales como en las grandes redes. El dispositivo se auto integra fácilmente dentro de redes existentes del tipo Gigabit Ethernet o Asynchronous Transfer Mode (ATM).

El FPX propiamente dicho, queda dentro de un chasis que se puede montar en cualquier rack de la red. Cuándo un virus o gusano es descubierto, el sistema puede detener silenciosamente todo el tráfico malicioso, o generar un mensaje emergente en la computadora del usuario final. Un administrador utiliza una simple interface basada en la Web, para controlar y configurar el sistema.