¿Cómo funcionan exactamente las listas blancas y qué significa en términos de software antivirus?
La lista blanca es cuando la compañía de antivirus marca explícitamente una firma de archivo como segura. A veces, los programas antivirus identifican incorrectamente un archivo o programa como malicioso, lo que puede impedir que el programa funcione. El usuario o desarrollador de la computadora puede ponerse en contacto con la compañía de antivirus y solicitar que la firma del archivo se marque como segura. El archivo ya no se detectará como malicioso, lo que permitirá que se vuelva a utilizar.
A menudo, para los programas, la firma del certificado de firma de código del creador se marca como confiable. De esta manera, todos los programas futuros firmados por la compañía serán ignorados por el software antivirus.
La lista blanca es solo una metodología. La metodología se puede aplicar de muchas maneras.
Mostraré dos ejemplos simples, en la parte frontal y en el backend.
Así que hablemos de la interfaz de usuario: Aquí, la lista blanca se trata de confiar en archivos o certificados SSL, para asegurarse de que sean de entidades válidas. Sin embargo, el certificado en sí puede ser un punto de ataque, por ejemplo. la firma puede ser robada y el malware puede ser firmado con la firma robada. Por lo tanto, al final, puede confiar en un malware antes de que se descubra el certificado raíz (que en su mayoría es reportado por una compañía de antivirus u otro experto en seguridad) y revocar. La mayoría de los antivirus utilizan el certificado para evitar falsos positivos, pero aún puede marcar el archivo / url con un certificado válido si el motor de detección encontró contenido extraño en un archivo / url.
Mientras se encuentra en el backend, el proceso de compilación de la compañía antivirus comprueba millones de archivos de software prominentes para garantizar que no se reporten falsos positivos que hagan que el sistema del usuario sea inútil. Así es como el virus no marca al menos ~ 500 versiones de Microsoft svchost.exe (varias correcciones de seguridad de Microsoft y actualizaciones) como virus.
Simplemente revise el ejemplo anterior, notará que la lista blanca ha heredado la debilidad y la complejidad de la usabilidad. Nunca se puede usar como la única medida de seguridad para prevenir ataques / explotaciones. Crear una aplicación que solo permita la ejecución de la lista blanca significa que va a romper las cosas MUY RÁPIDAMENTE. Por otro lado, poner millones de archivos de la lista blanca no ayudará a su empresa: la logística para mantener y enviar el archivo al usuario es costosa.
Si alguien es tan ingenuo para creer que la seguridad de la lista blanca es un negocio válido, el inversor que invierte en ese negocio verá su dinero vaporizado en un instante.
Esta es la razón por la que los antivirus prominentes rara vez desacreditan el mito de la lista blanca, que está sobrevalorado por algunos "expertos en seguridad" y periodistas de medios que no entienden los problemas.
Lea otras preguntas en las etiquetas virus antivirus protection