Recientemente he estado estudiando el 'cuestionario de elementos cibernéticos' y me encontré con la pregunta "Aparte del software antivirus, ¿existen medidas de control de acceso para evitar la modificación del código del virus y los archivos ejecutables que se ejecutan comúnmente?", ¿existen prácticas? ¿Se implementaría para hacer frente a este otro que no sea el software antivirus mencionado?
La pregunta es bastante descriptiva: en un sistema seguro, te aseguras de que los usuarios normales no puedan escribir en la carpeta que contiene tus ejecutables. En la mayoría de los sistemas operativos, eso ya se hace de forma predeterminada.
En algunos sistemas operativos, esto puede fortalecerse mediante varias técnicas, que incluyen la firma de los ejecutables o la limitación de las ubicaciones donde se puede ubicar el código ejecutable.
No es del 100%, claro, hay varias técnicas que se pueden usar para solucionar las limitaciones, pero es un paso bueno y (generalmente) fácil de implementar para fortalecer un sistema.
Uno de estos métodos es ejecutables firmados . Esta es una firma criptográfica en ejecutables, que puede verificar que el código se originó en un proveedor confiable (por ejemplo, Microsoft) y que no se ha manipulado.
Hay muchas herramientas diferentes en el mercado que pueden monitorear la integridad de los ejecutables clave y garantizar que no se manipulen. La idea es simple, la solución crea una lista blanca de las aplicaciones y archivos clave (utilizando algoritmos de hash) y monitorea constantemente esos archivos, verificando sus hashes contra la lista blanca creada.
Si está buscando una solución "elegante", le puedo recomendar algo como McAfee Solid Core , que no solo controla el hash, sino también varias otras comprobaciones.
De lo contrario, puede codificarse un script que toma hashes (SHA512) de los archivos clave y compararlos con una lista blanca. Si un hash es diferente de su lista blanca, el script podría enviarle un correo electrónico. No es tan buena como una solución comercial completa, pero ayuda a identificar si alguien cambió un archivo.
Lea otras preguntas en las etiquetas corporate-policy antivirus