¿Existen heurísticas para modelar la "inocuidad" de un archivo?

Navega tus respuestas
2

Hay un servicio de procesamiento de archivos que busca algunos ataques conocidos y, a veces, devuelve mensajes como:

  

Probablemente inofensivo! Hay fuertes indicadores que sugieren que esta   el archivo es seguro de usar.

¿Existen heurísticas que modelen la probabilidad de que un archivo sea inofensivo? En caso afirmativo, ¿cuál es un ejemplo simple de tal heurística y cuál es la mejor manera de aprender más sobre el tema en general?

    
pregunta blunders 18.05.2014 - 20:52
fuente

1 respuesta

2

Las heurísticas probables son:

  • El archivo es un archivo válido de un tipo conocido (por ejemplo, un JPEG que cae dentro de una lectura estricta de la especificación de JPEG).
  • El archivo no contiene datos extraños (por ejemplo, JPEG permite datos sin formato después de la imagen. Un archivo seguro no tendría ninguno.)
  • El archivo no contiene ninguna vulnerabilidad conocida para el formato.

Otras posibles heurísticas:

  • El archivo no usa características inusuales del formato (por ejemplo, un JPEG que usa marcadores inusuales específicos de la aplicación se consideraría sospechoso).
  • El archivo no parece incrustar datos de un tipo diferente (por ejemplo, un JPEG con algo que se parece a HTML en el campo de comentarios podría ser un ataque al mecanismo de detección de tipos de Internet Explorer, aunque esto es propenso a falsos positivos) .

Para obtener más información sobre esto, recomiendo leer las especificaciones en algunos formatos de archivo y buscar vulnerabilidades relacionadas con esos formatos.

    
respondido por el Mark 19.05.2014 - 03:47
fuente

Lea otras preguntas en las etiquetas

¿Por qué tengo llaves de extraños en mi llavero GPG? ¿Es particularmente inseguro utilizar openvpn o pptp con solo autenticación de nombre de usuario / contraseña en lugar de certificados?