ES2297596T3 - Proteccion de sistemas de ordenadores. - Google Patents

Proteccion de sistemas de ordenadores. Download PDF

Info

Publication number
ES2297596T3
ES2297596T3 ES05026445T ES05026445T ES2297596T3 ES 2297596 T3 ES2297596 T3 ES 2297596T3 ES 05026445 T ES05026445 T ES 05026445T ES 05026445 T ES05026445 T ES 05026445T ES 2297596 T3 ES2297596 T3 ES 2297596T3
Authority
ES
Spain
Prior art keywords
data
computer system
incoming data
computer
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES05026445T
Other languages
English (en)
Inventor
Simon Robert Qinetiq Limited Wiseman
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qinetiq Ltd
Original Assignee
Qinetiq Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qinetiq Ltd filed Critical Qinetiq Ltd
Application granted granted Critical
Publication of ES2297596T3 publication Critical patent/ES2297596T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Multi Processors (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Un sistema de ordenadores (72) para recibir datos (62) que entran desde una fuente externa (60), estando dispuesto el sistema de ordenadores (72) para proporcionar un equipo de sobremesa principal (200) e incluyendo, también, una aplicación de ¿caja de arena¿ (76) para recibir datos (62) y definir un equipo de sobremesa de ¿caja de arena¿, y medios descifradores (80) para descifrar datos, caracterizado porque: a) el sistema de ordenadores (72) está dispuesto para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) e incluye medios de cifrado (68, 208) para cifrar los datos entrantes, potencialmente peligrosos (66) a fin de transformarlos en datos cifrados (70) y convertirlos, por tanto, en inofensivos, b) el sistema de ordenadores (72) también está dispuesto para hacer que datos entrantes (65) distinguidos como inofensivos, estén disponibles en forma no cifrada para tratamiento por medio de una aplicación (78) de equipo de sobremesa principal, c) los medios descifradores (80) están dispuestos para descifrar los datos cifrados (70) con el fin de transformarlos en datos descifrados, y d) una aplicación restringida (82), limitada por la aplicación de ¿caja de arena¿ (76), está dispuesta para tratar los datos descifrados.

Description

Protección de sistemas de ordenadores.
Este invento se refiere a un método para la protección de sistemas de ordenadores contra interferencias externas no deseadas tales como, por ejemplo, virus, a un programa de ordenador para poner en práctica tal protección y a un sistema de ordenadores así protegido.
Las aplicaciones de software para ordenador ofrecen características cada vez más flexibles y se integran mejor a medida que se desarrolla la tecnología de los ordenadores. Desafortunadamente, esto tiene el efecto de incrementar la exposición a los ataques de los sistemas de ordenador; los ataques mediante software tipo caballo de Troya explotan características ocultas del software de aplicaciones en ejecución en el ordenador de una víctima, y los ataques mediante virus tienen como consecuencia que el software introducido por un atacante se extienda de un ordenador a otro. Por tanto, la protección de los sistemas de ordenador resulta cada vez más difícil a medida que avanza la tecnología. Los ataques a los sistemas de ordenador pueden dañar la información que éstos contienen, hacer que se pierda información, o impedir que usuarios legítimos de los sistemas de ordenador lleven a cabo su trabajo.
La mejor práctica que actualmente se observa en la industria para la protección de los sistemas de ordenador, como se describe en el libro "Network Security" ("Seguridad en la red"), de Kaufman, Perlman y Speciner, consiste en aplicar un comprobador de software a los datos a medida que entran en un sistema de ordenadores: el comprobador identifica un ataque potencial, permitiendo que se rechace cualesquiera datos que se asemejen a un ataque. Desafortunadamente, resulta muy difícil identificar con precisión un ataque empleando comprobadores de software y, con frecuencia, es necesario equivocarse por exceso de precauciones. El resultado es que puede que no se dejen entrar al sistema datos carentes de peligro y, quizás, valiosos.
Un sistema de ordenadores que rechace datos carentes de peligro y, algunas veces, valiosos, no constituye un útil fiable para un negocio; con el fin de reducir la pérdida de datos, se sabe poner los datos rechazados en lo que se denomina "cuarentena"; una cuarentena es una región de la memoria del ordenador no accesible para los usuarios normales y por sus aplicaciones de software, tales como tratamientos de textos pero accesible, en cambio por expertos en ordenadores que pueden inspeccionar manualmente los datos rechazados y decidir si son peligrosos o no. La inspección manual experta de los datos en cuarentena puede ser mucho más precisa a la hora de detectar un ataque que un comprobador de software. Así, parte de los datos rechazados por un comprobador automático de software pueden ser identificados, subsiguientemente, como carentes de peligro y se les permite entrar en el sistema de ordenado-
res.
La inspección manual de los datos en cuarentena mejora la fiabilidad de las comunicaciones entre un sistema de ordenadores y el mundo exterior, pero tiene como consecuencia un retardo, que puede ser significativo, y exige personal experto para su ejecución. Además, tanto los comprobadores automáticos como la inspección manual, son propensos a fallos. En particular, tanto las comprobaciones automáticas como las manuales no tienen éxito a la hora de detectar nuevas y, por tanto desconocidas, formas de ataque. Las formas de ataque se asocian con funcionalidades disponibles en las aplicaciones; por tanto, las nuevas formas de ataque aparecen a medida que se desarrollan más aplicaciones de software. Por ello, la mejor práctica actual en la industria en cuanto a la protección de los sistemas de ordenador, es cara e ineficaz, y esta situación no mejorará.
Otra práctica de la técnica anterior conocida como " caja de arena" o ejecución en entornos aislados, se describe en el libro "JAVA Security" ("Seguridad en JAVA"), de Scott Oaks: ofrece una alternativa a la solución de rechazo de datos. En esta técnica, se permite que los datos entren en un sistema de ordenadores, pero el entorno del sistema, es decir, el modo en que pueden utilizarse los datos, está restringido. Si se prueba que los datos representan un ataque, el caballo de Troya o el virus con que infectan solamente tiene acceso al entorno restringido y no puede corromper aplicaciones de software que estén fuera de él, es decir, más allá de los límites de la "caja de arena".
La forma más común de "caja de arena" es la proporcionada por los "miniprogramas" JAVA®, que son elementos de software autónomos escritos en lenguaje JAVA, de Sun Microsystems y que pueden ejecutarse en una gran variedad de diferentes tipos de ordenador. Desafortunadamente, la "caja de arena " de JAVA® adolece del inconveniente de trabajar, sólo, para miniprogramas JAVA y no para datos en cualquier otra forma. Por ejemplo, un documento de Microsoft Word® no puede ser editado por la aplicación Word de Microsoft en una "caja de arena" de JAVA®.
En el trabajo "Un modelo de seguridad flexible para uso de contenido de Internet", en INTERNET, del 28 de Junio de 1997, Islam y colaboradores proponen una arquitectura que incorpora un sistema de empleo de contenido timbrado, de confianza, para controlar la ejecución de contenido descargado basándose en grados de confianza para fabricantes, autoridades certificadoras, redes y servidores de contenidos (véanse, también, dos trabajos de 1997 de la IEEE, de Islam y colaboradores y Anand y colaboradores, con el mismo título). En esta arquitectura, los mandantes (clientes) descargan un contenido que tiene timbres de contenido utilizados para autenticar el contenido y derivan su dominio de protección. El sistema de empleo de contenido timbrado se conecta, por una red no segura, con un servidor no seguro de contenidos que posee contenidos para descargar, un servicio seguro de tarificación de contenido, un servicio de distribución de política de confianza que distribuye bases de datos de políticas a un mandante que realiza una descarga y un fabricante de contenidos. La confianza en los fabricantes de software tiene grados variables.
El sistema de empleo de contenido timbrado autentica el contenido y crea dominios de protección; contiene (a) un intérprete de contenido, (b) una base de datos de políticas, (c) un vigilante que obliga a cumplir con la seguridad y (d) una tabla de derechos de acceso. Los mandantes utilizan un servicio de distribución de claves para permitirles obtener, con seguridad, la clave pública de otro mandante. El contenido timbrado, cifrado, recibido por un mandante que realiza una descarga, es autenticado por el sistema de empleo de contenido timbrado para verificar la integridad y la fuente del contenido. El sistema de empleo de contenido timbrado descifra entonces el contenido timbrado, cifrado, utilizando la clave privada del mandante que realiza la descarga.
El sistema se describe como un visor de miniprogramas modificado que puede gestionar miniprogramas tanto timbrados como sin timbrar. Los miniprogramas no timbrados se gestionan de acuerdo con la política estándar para miniprogramas Java, es decir, al miniprograma no se le permite acceder a ficheros de la máquina del usuario y no se permiten conexiones TCP a máquinas que no sean un ordenador anfitrión desde el que se descargó el miniprograma. Cada miniprograma timbrado recibe su propio dominio de protección. Todos los hilos creados por el miniprograma timbrado se asocian con el mismo dominio de protección. Por lo tanto, todos los hilos que pertenecen a un miniprograma timbrado tienen una lista de capacidades comunes asociadas con ellos.
Se han construido o propuesto más "cajas de arena" con fines generales, pero no tienen un uso generalizado: ejemplos de ellas incluyen el software de investigación desarrollado por la University California Berkeley, denominado Janus y descrito en un trabajo titulado "Janus: Una solución al confinamiento de aplicaciones no confiables", de David A. Wagner, UC Berkeley Computer Science Division, informe CSD-99-1056, de Agosto de 1999. Se utilizan características de seguridad dentro de un sistema operativo para separar el software que se ejecuta dentro de la "caja de arena" de otro software que se ejecuta en un sistema de ordenadores en forma de puesto de trabajo principal de sobremesa.
Sin embargo, el uso de la "caja de arena" no resuelve el problema. Ello se debe a que los virus todavía pueden extenderse libremente dentro del entorno restringido proporcionado por la "caja de arena" y los usuarios, inevitablemente, tienen que mover datos traspasando los límites de la "caja de arena" a fin de reflejar necesidades comerciales para intercambiar datos.
Un objeto del invento es proporcionar una forma alternativa de protección para sistemas de ordenador.
El presente invento proporciona un sistema de ordenadores para recibir datos procedentes de una fuente externa, incluyendo el sistema de ordenadores una aplicación de "caja de arena" para recibir los datos y definiendo un equipo de sobremesa de "caja de arena", y medios de descifrado para descifrar datos, caracterizado porque:
a)
el sistema de ordenadores incluye medios de cifrado para cifrar datos entrantes, potencialmente peligrosos, a fin de transformarlos en datos cifrados y, por tanto, convertirlos en inofensivos,
b)
los medios de descifrado están dispuestos para descifrar los datos cifrados a fin de transformarlos en datos descifrados, y
c)
una aplicación restringida, limitada por la aplicación de "caja de arena" está dispuesta para tratar los datos descifrados.
El invento ofrece la ventaja de permitir que datos potencialmente peligrosos sean examinados y ejecutados mientras se encuentran limitados por la aplicación de "caja de arena"; esto, a su vez, permite que un usuario decida sobre la importancia de los datos mientras los datos están puestos en cuarentena mediante cifrado. El material no deseado puede ser desechado evitándose la necesidad de inspecciones adicionales. Además, no es necesario retrasar los mensajes importantes esperando una inspección experta, pudiendo éstos, en cambio, quedar disponibles para un usuario del sistema en un entorno de cuarentena restringido proporcionado por el equipo de sobremesa de "caja de arena".
Los medios de cifrado pueden incluir medios de comprobación para distinguir entre datos inofensivos y datos sospechosos y estar dispuestos para cifrar los datos sospechosos pero no los datos inofensivos.
En un aspecto alternativo, el presente invento proporciona un sistema de ordenadores para recibir datos potencialmente peligrosos procedentes de una fuente externa, incluyendo el sistema de ordenadores una aplicación de "caja de arena" para recibir datos y definiendo un equipo de sobremesa de "caja de arena", y medios descifradores para descifrar datos, caracterizado porque:
a)
el sistema de ordenadores incluye medios de comprobación para:
i)
recibir datos entrantes,
ii)
dejar pasar datos que se consideren inofensivos para su tratamiento con una aplicación asociada con un equipo de sobremesa principal del sistema de ordenadores, y
iii)
enviar los datos sospechosos para su cifrado,
b)
el sistema de ordenadores también incluye medios de cifrado para recibir datos sospechosos procedentes de los medios de comprobación y para cifrar los datos sospechosos con el fin de transformarlos en datos cifrados y hacer, por tanto, que resulten inofensivos,
c)
Los medios descifradores están dispuestos para descifrar los datos cifrados a fin de transformarlos en datos descifrados, y
d)
está dispuesta una aplicación restringida, limitada por la aplicación de "caja de arena", para tratar los datos descifrados.
La aplicación restringida puede estar dispuesta para no comunicar directamente con ninguna aplicación asociada con un equipo de sobremesa del sistema de ordenadores. El sistema de ordenadores puede estar asociado con medios para permitirle a un usuario recuperar datos de la aplicación de "caja de arena" en forma cifrada para envío a su inspección experta. Puede incluir medios para comprobar los datos descifrados liberados de la aplicación de "caja de arena", en busca de contenidos potencialmente peligrosos. Puede estar conectado, mediante un cortafuegos, con una fuente externa constituida por una red. El cortafuegos puede proteger a los medios de comprobación de la fuente externa.
El sistema de ordenadores puede incluir software para cifrar datos potencialmente peligrosos que un usuario puede querer tratar utilizando una aplicación asociada con un equipo de sobremesa principal del sistema, en lugar de la aplicación de "caja de arena". Puede incluir software para permitirle a un usuario recuperar datos de la aplicación de "caja de arena" en forma cifrada, para su envío para inspección experta, y para comprobar datos descifrados liberados de la aplicación de "caja de arena" en busca de contenidos potencialmente peligrosos y de su adecuabilidad para ser tratados por una aplicación de equipo de sobremesa principal de un sistema de ordenadores.
En otro aspecto, el presente invento proporciona un método de proteger a un sistema de ordenadores contra datos entrantes, potencialmente peligrosos, procedentes de una fuente externa, incluyendo el sistema de ordenadores una aplicación de "caja de arena" para recibir los datos y definiendo un equipo de sobremesa de "caja de arena", y medios para descifrar datos, caracterizado porque el método incorpora los pasos de:
a)
cifrar los datos entrantes, potencialmente peligrosos, para transformarlos en datos cifrados, inofensivos,
b)
descifrar los datos cifrados para transformarlos en datos descifrados, y
c)
tratar los datos descifrados por medio de una aplicación restringida, limitada por la aplicación de "caja de arena".
El paso de cifrar los datos entrantes, potencialmente peligrosos, puede comprender una comprobación para distinguir entre datos inofensivos y datos sospechosos y cifrar los datos sospechosos pero no los datos inofensivos.
En otro aspecto alternativo, el presente invento proporciona un método de proteger un sistema de ordenadores contra datos entrantes, potencialmente peligrosos procedentes de una fuente externa, incluyendo el sistema de ordenadores una aplicación de "caja de arena" para recibir los datos y definiendo un equipo de sobremesa de "caja de arena", y medios descifradores para descifrar datos, caracterizado porque el método incorpora los pasos de:
a)
comprobar los datos entrantes,
b)
dejar pasar los datos considerados inofensivos para su tratamiento con una aplicación asociada con un equipo de sobremesa del sistema de ordenadores,
c)
cifrar los datos sospechosos para transformarlos en datos cifrados y, por tanto, hacerlos inofensivos,
d)
descifrar los datos cifrados para transformarlos en datos descifrados para ser recibidos por la aplicación de "caja de arena", y
e)
tratar los datos descifrados con una aplicación restringida, limitada por la aplicación de "caja de arena".
Los pasos de comprobar los datos entrantes, dejarlos pasar si se les considera inofensivos, enviar los datos sospechosos para su cifrado y cifrarlos, pueden realizarse merced a medios de comprobación protegidos de la fuente externa por un cortafuegos.
La aplicación restringida puede estar dispuesta para no comunicar con ninguna aplicación asociada con el equipo de sobremesa principal.
El método puede incluir el paso de recuperar datos de la aplicación de "caja de arena" en forma cifrada para enviarlos a la inspección experta. Puede incluir la comprobación de datos descifrados liberados del equipo de sobremesa de "caja de arena" en busca de contenidos potencialmente peligrosos.
En otro aspecto, el presente invento proporciona software de ordenador para proteger a un sistema de ordenadores frente a datos entrantes potencialmente peligrosos recibidos de una fuente externa, incluyendo el software de ordenador software de descifrado para descifrar datos y una aplicación de "caja de arena" para recibir datos y definir un equipo de sobremesa de "caja de arena", caracterizado porque el software de ordenador está dispuesto para controlar el sistema de ordenadores para:
a)
cifrar datos entrantes potencialmente peligrosos a fin de transformarlos en datos cifrados y convertirlos, por tanto, en inofensivos,
b)
descifrar los datos cifrados para transformarlos en datos descifrados, y
c)
tratar los datos descifrados utilizando una aplicación restringida, limitada por la aplicación de "caja de arena".
El software de ordenador puede estar dispuesto para controlar el sistema de ordenadores a fin de distinguir entre datos inofensivos y datos sospechosos y cifrar los datos sospechosos, pero no los datos inofensivos.
En otro aspecto alternativo, el presente invento proporciona software de ordenador para proteger un sistema de ordenadores contra datos entrantes potencialmente peligrosos recibidos desde una fuente externa, incluyendo el software de ordenador software de descifrado para descifrar los datos y una aplicación de "caja de arena" para recibir datos y definir un equipo de sobremesa de "caja de arena", caracterizado porque el software de ordenador está dispuesto para controlar el sistema de ordenadores a fin de:
a)
comprobar los datos entrantes,
b)
dejar pasar los datos considerados inofensivos para tratamiento con una aplicación asociada con un equipo de sobremesa principal del sistema de ordenadores,
c)
cifrar los datos sospechosos para transformarlos en datos cifrados y, por tanto, convertirlos en inofensivos,
d)
descifrar los datos cifrados para transformarlos en datos descifrados para ser recibidos por la aplicación de "caja de arena", y
e)
tratar los datos descifrados con una aplicación restringida, limitada por la aplicación de "caja de arena".
La aplicación restringida puede estar dispuesta para no comunicar directamente con ninguna aplicación asociada con un equipo de sobremesa principal del sistema de ordenadores.
El software de ordenador puede estar dispuesto para controlar el sistema de ordenadores a fin de recuperar datos de la aplicación de "caja de arena" en forma cifrada para enviarlos para someterlos a una inspección experta. Puede estar dispuesto para controlar el sistema de ordenadores a fin de comprobar los datos descifrados liberados del equipo de sobremesa de "caja de arena" en busca de contenidos potencialmente peligrosos.
Con el fin de que el invento pueda comprenderse en forma más completa, se describirán ahora realizaciones del mismo, a modo de ejemplo solamente, con referencia a los dibujos anejos, en los que:
las Figuras 1 y 2 son diagramas esquemáticos de sistemas de ordenadores de la técnica anterior;
la Figura 3 es un diagrama esquemático de la protección para ordenadores del invento;
las Figuras 4 y 5 ilustran el uso de cortafuegos para la protección de ordenadores;
la Figura 6 es un diagrama de flujo de un procedimiento de protección de ordenadores de acuerdo con el invento, y
la Figura 7 ilustra el uso de equipos de sobremesa principal y de "caja de arena" en un puesto de trabajo de acuerdo con el invento.
\vskip1.000000\baselineskip
Refiriéndonos a la Figura 1, en ella se ilustra una protección 10 de acuerdo con la técnica anterior para un sistema de ordenadores, la cual corresponde a la mejor práctica corriente en la industria: una red 12 de ordenadores externa alimenta datos entrantes 14 a un software 16 de inspección automática (comprobador de software) a medida que entran los datos en un sistema de ordenadores (no mostrado). El comprobador de software 16 encamina cualquier dato 18 sospechoso a una memoria 20 de cuarentena, que está constituida como parte de una memoria de ficheros de un ordenador servidor protegida por controles de acceso del sistema operativo; transmite los datos inofensivos 22 a una red interna 24 de recepción. La zona de cuarentena está en un centro de operaciones de la red y solamente es accesible para el equipo 26 de inspección de expertos responsable de la inspección manual de datos sospechosos. Estos expertos vigilan la memoria 20 de cuarentena en busca de datos inofensivos y, cuando los encuentran, los transmiten como datos limpiados 28 a la red de recepción 24. El comprobador 16 de software tratará como sospechosos a una parte de los datos que, de hecho, son inofensivos y no identificará nuevas clases de ataques. El equipo 26 de inspección experta es costoso, introduce retrasos y no es infalible.
Haciendo referencia a la Figura 2, en ella se ilustra la práctica de la técnica anterior conocida como "caja de arena". Una red externa 42 de ordenadores alimenta datos entrantes 44 a un ordenador 46 de usuario que forma parte de una red interna 48 de ordenadores. Los datos 44 no son accesibles para las aplicaciones de software de equipos de sobremesa (por ejemplo, un tratamiento de textos) que se ejecutan en el ordenador 46 y se indican mediante círculos tales como 50; en cambio, los datos 44 son hechos pasar a una "caja de arena" 52 que proporciona un entorno restringido, y los datos no pueden corromper las aplicaciones de software que se ejecutan fuera de él, es decir, más allá de los límites de la "caja de arena". La "caja de arena" puede incorporarse en la práctica interpretando el software de aplicaciones que se ejecuta en ella, como es el caso con JAVA, y garantizando que no existen instrucciones que faciliten el acceso de los datos más allá de los límites de la "caja de arena". Alternativamente, el software de aplicaciones puede ejecutarse directamente, pero se aplican controles de acceso al sistema operativo a todos los recursos situados más allá de los límites de la "caja de arena" a fin de impedir que el software de la "caja de arena" acceda a ellos.
La protección del sistema de ordenadores de acuerdo con el invento se ilustra en la Figura 3. Una red externa 60 de ordenadores (por ejemplo, Internet) alimenta datos entrantes 62 a un software de comprobación 64 a medida que los datos entran en un sistema de ordenadores (no mostrado). El comprobador 64 de software deja pasar cualquier dato 65 que considere inofensivo; encamina cualquier dato sospechoso 66 a un cifrador 68 que lo cifra para convertirlo en inutilizable y, por tanto, en inofensivo. Resultaría adecuado cualquier algoritmo de cifrado simétrico que hiciese inutilizables los datos, tal como la Data Encryption Standard (DES) (norma de cifrado de datos) descrita por la publicación 46-2 de las Normas Federales norteamericanas de tratamiento de la información.
Los datos inofensivos 65 y los datos sospechosos 70 cifrados, son hechos pasar a un ordenador 72 de usuario que forma parte de una red interna 74 de ordenadores. El ordenador 72 posee un área de cuarentena de equipo de sobremesa o "caja de arena" 76 para datos sospechosos, y esto es aplicable a todo ordenador 72 conectado en la red 74. El ordenador 72 ejecuta aplicaciones de equipo de sobremesa principal tales como 78, que reciben los datos cifrados 70 y puede almacenarlos y dejarlos de lado, pero estas aplicaciones 78 no pueden utilizarlos en forma significativa por cuanto están cifrados. Igualmente, las aplicaciones 78 tampoco pueden ser interferidas por los datos cifrados porque el cifrado, precisamente, hace imposible ejecutar o interpretar los datos.
Al entrar en la "caja de arena" 76, los datos cifrados son descifrados, convirtiéndose en una forma utilizable, por una función 80 de importación de "caja de arena"; entonces quedan accesibles para las aplicaciones de software o las herramientas 82 que se ejecutan en la "caja de arena" 76. En la "caja de arena" 76 se incluye un software 84 de comprobación de liberación para comprobar si un extracto de los datos descifrados es o no inofensivo. Los datos que no pasan la comprobación 84 de liberación por ser sospechosos, pueden ser lo bastante importantes para requerir una inspección manual por expertos. En tales casos, un usuario somete una petición 86 para que sean inspeccionados los datos sospechosos, quizás por correo electrónico o a través de una interfaz de la red, a una cola 88 de peticiones. Los expertos 90 toman peticiones de la cola 88 y las responden descifrando los datos sospechosos y comprobándolos manualmente.
La ventaja de esta solución es que un usuario puede examinar los datos sospechosos e, incluso, ejecutarlos si fuese necesario, mientras están restringidos por la "caja de arena", permitiéndole al usuario decidir la importancia de los datos sospechosos puestos en cuarentena mediante cifrado. Si el usuario decide que los datos sospechosos carecen de importancia para las necesidades del negocio del usuario, por ejemplo, se trata de material publicitario no solicitado, el usuario puede desecharlos, economizando esfuerzos por la parte del equipo de inspección manual. Por el contrario, si los datos sospechosos forman parte de un mensaje importante, de interés para el trabajo del usuario, no se retrasa todo el mensaje esperando ser escrutado por el equipo de inspección manual, sino que es posible ponerlo a disposición del usuario en el entorno restringido de su "caja de arena" del equipo de sobremesa.
La zona 76 de cuarentena del equipo de sobremesa incorporada por el invento es un tipo de "caja de arena", porque dentro de ella, un usuario puede trabajar con datos sospechosos en forma descifrada empleando las aplicaciones 82 de la "caja de arena" restringida. La "caja de arena" puede construirse empleando herramientas apropiadas, bien conocidas en la técnica anterior, por ejemplo controles de sistema operativo o JAVA. El mecanismo cifrador garantiza que las aplicaciones de un equipo de sobremesa principal de un usuario no puedan acceder a los datos sospechosos en forma no cifrada fuera de la "caja de arena" 76. Los datos sospechosos que intenten causar daño, son inhibidos por la "caja de arena" 76.
Con el fin de llevar a cabo una función comercial, un usuario de ordenador puede tener que realizar extracciones de datos sospechosos, por ejemplo empleando facilidades de "cortar y pegar" proporcionadas por las aplicaciones, y moverlos desde la "caja de arena" 76 para que queden accesibles para las aplicaciones 78 de equipo de sobremesa principal; entonces, es necesario comprobar que cada extracción es inocua. En muchos casos, será posible que software de comprobación de liberación automática, tal como 84, certifique confidencialmente que una extracción es inocua, aún cuando no resulte posible hacer esto para todos los datos sospechosos en conjunto. Por ejemplo, podrían considerarse sospechosos los datos en forma de documento que contenga macros, pero el documento podría contener partes a extraer, tales como párrafos de texto, que podrían ser decretadas inocuas por el software de comprobación.
\newpage
En muchos casos, la "caja de arena" 76 evita la necesidad de una inspección manual; sin embargo, algunas veces será necesario tomar, de la "caja de arena" 76, datos considerados como sospechosos para transferirlos a un entorno de equipo de sobremesa principal de usuario para que accedan a ellos las aplicaciones 78. Esto será rechazado por la comprobación 84 de liberación al ser sospechosos y, por ello, será necesaria todavía la inspección manual por los expertos 90, a los que se les someten las peticiones 86 de inspección manual.
Como, ahora, un usuario solicita la inspección manual, es posible asignar prioridades y costes de acuerdo con las necesidades del negocio. Además, las inspecciones se realizan con bastante menor frecuencia y sólo cuando resulte estrictamente necesario, ya que el invento evita la innecesaria comprobación de material que, por ejemplo, carece de importancia o para el cual pueda obtenerse del remitente, a petición del usuario, una versión "limpia" o editada del mismo.
El invento hace uso de técnicas estándar para detectar caballos de Troya y software con virus al inspeccionar los datos entrantes en busca de contenidos sospechosos. Si cualquier parte de los datos entrantes, por ejemplo un anejo de un mensaje de correo electrónico, fuese considerado como un ataque potencial, se le cifraría. Los datos originales se modifican reemplazando las partes sospechosas del mismo con su equivalente cifrado, y a los datos así modificados se les permite continuar en forma normal. Así, a un mensaje de correo electrónico con un anejo sospechoso se le permitiría continuar con dicho anejo sustituido por una versión cifrada, pero el cuerpo del mensaje y cualesquiera otros anejos seguirían siendo legibles.
El cifrado deja los datos inutilizables, por lo que se puede dejar que los datos sospechosos cifrados pasen, con seguridad, a un ordenador 72 de un usuario; siguen siendo inutilizables hasta que sean descifrados mediante una clave de descifrado apropiada, que no está disponible para los usuarios ni para las aplicaciones de su equipo de sobremesa principal, sino que está disponible, como se ha dicho, para la función 80 de importación en la "caja de arena".
Al recibir una forma cifrada de algún dato sospechoso, un usuario lo mira o lo manipula haciéndolo pasar a la "caja de arena" 76, donde es descifrado convirtiéndolo en una forma utilizable, como se indica en 80. Ya descifrados, puede accederse a los datos sospechosos mediante aplicaciones de software 82 que se ejecutan en la "caja de arena" 76. El equipo de sobremesa principal y la "caja de arena" pueden ejecutar las mismas aplicaciones, pero crean instancias separadas de estas aplicaciones, que no pueden comunicarse entre sí. Por ejemplo, podría utilizarse Microsoft® Word para editar documentos tanto en el equipo de sobremesa principal como en la "caja de arena"; en ese caso, se ejecutaría Word en dos instancias separadas, es decir, una para el equipo de sobremesa principal y la otra para la "caja de arena", y ambas instancias no podrían comunicarse directamente.
La Figura 4 (en la que partes equivalentes a las descritas anteriormente tienen referencias similares) muestra la red interna o corporativa 74 que incorpora un servidor de correo 102 y varios ordenadores de usuario (puestos de trabajo) tales como 72. La red 74 está defendida de datos hostiles en la Internet 60 mediante un ordenador 108 denominado cortafuegos, que controla las comunicaciones entre las aplicaciones que se ejecutan en ordenadores de redes diferentes. El libro "Building Internet Firewalls" ("Construyendo cortafuegos para Internet"), de D.B. Chapman y E.D. Zwicky describe la interposición de un "representante" para aplicaciones de software en un ordenador, tal como 108, entre las redes. El ordenador 108 se denomina cortafuegos representante o cortafuegos anfitrión bastión. Las aplicaciones de software de las redes 60 y 74 conectadas se comunican a través de un representante de aplicaciones en el ordenador 108.
El cortafuegos 108 de ordenador se muestra con mayor detalle en la Figura 5; comprende un anfitrión bastión 110 que media en los accesos a las redes entre Internet 60 y la red corporativa 74, junto con un comprobador 116 conectado al anfitrión bastión 110 mediante una red secundaria 114 reservada exclusivamente con este fin, denominada comúnmente zona desmilitarizada.
El anfitrión bastión 110 está constituido por software de cortafuegos comercialmente disponible, tal como Gauntlet, de Network Associates. El comprobador 116 es un ordenador que aloja un representante para corroe electrónico, que incorpora componentes de cuarentena de equipo de sobremesa del lado del servidor, es decir, el comprobador 64 y el cifrador 68.
El diagrama de flujo ilustrado en la Figura 6 muestra la acción del comprobador 116 en la presente realización del invento, aunque las comprobaciones del correo electrónico pueden llevarse a la práctica utilizando un software de comprobación de virus estándar tal como Sophos Sweep, comercialmente disponible. En 140 se acepta un mensaje de correo electrónico procedente de un remitente externo a través del anfitrión bastión 110 (no representado). El mensaje se descompone, en 142, en partes individuales (cuerpo del mensaje y anejos), y en 155 se selecciona una primera de tales partes para comprobarla, en 146, mediante el comprobador 116 de virus. Si, en 148, se encuentra que la parte contiene código peligroso, entonces se pone todo el mensaje en la cuarentena 150 de servidor y se abandona, en 152, el tratamiento del mensaje. Si, alternativamente, en 148 no se identifica la parte como portadora de código peligroso y si, también, se verifica como segura en 154, entonces se la deja pasar a la siguiente etapa 156, donde es almacenada temporalmente.
Si, en 154, la parte del mensaje no puede verificarse como segura (inofensiva), entonces se la cifra en 158; la versión cifrada resultante reemplaza a la parte no verificada del mensaje y lo hace pasar a la siguiente etapa 156 para su almacenamiento temporal. Si quedan en el mensaje una o más partes entonces se selecciona, en 160, la siguiente parte y se repite, para esa parte, el procedimiento que se inicia en el paso 146. Esto continúa para sucesivas partes del mensaje hasta que ya no quedan más partes o hasta que, en 152, tiene lugar el abandono del tratamiento del mensaje, sea cual sea lo que primero ocurra. Si no se ha producido tal abandono en el momento en que se ha tratado la última parte del mensaje, en 156 se acumulará en memoria un mensaje de correo electrónico parcialmente cifrado y parcialmente sin cifrar. Este mensaje guardado es enviado, en 162, al servidor 102 de correo corporativo a través del cortafuegos anfitrión bastión 110.
Los puestos de trabajo 72 se organizan como se muestra en la Figura 7, en la que partes equivalentes a las anteriormente descritas reciben referencias similares. Cada puesto de trabajo 72 posee la característica de que el tratamiento y el almacenamiento están divididos y asociados con respectivos equipos de sobremesa de usuario - un equipo de sobremesa principal 200 en el que trabaja un usuario con datos de confianza mediante aplicaciones 78, y un equipo de sobremesa de "caja de arena" con aplicaciones de software tales como 82, para trabajar con datos en cuarentena en el equipo de sobremesa. Las aplicaciones 78 y 82 de equipo de sobremesa principal y de "caja de arena", están aisladas unas de otras; es decir, las aplicaciones 78 de equipo de sobremesa principal no tienen acceso a datos que están siendo tratados por las aplicaciones 82 de equipo de sobremesa de "caja de arena" y, por tanto, no pueden ser perjudicadas por tales datos.
En el puesto de trabajo 72 se ejecuta software para tres procesos especiales del sistema: un proceso de descifrado 80, un proceso de cifrado 208 y un proceso de comprobación 210; estos le proporcionan a un usuario la capacidad de mover datos entre los dos equipos de sobremesa 76 y 200. El proceso de descifrado 80 toma datos cifrados del equipo de sobremesa principal 200 y los descifra y los mueve al equipo de sobremesa de "caja de arena". El proceso de cifrado 208 realiza la acción inversa tomando datos descifrados de la "caja de arena" 76, cifrándolos y moviéndolos al equipo de sobremesa principal 200. El proceso de comprobación 210 mueve datos desde la "caja de arena" 76 al equipo de sobremesa principal 200 sin cifrarlos, bajo el criterio de que los datos así movidos han superado comprobaciones de contenido que establecen que no contienen ningún código potencialmente dañino.
Haciendo referencia, una vez más, a las Figuras 4 y 5, el cortafuegos 108 puede recibir un mensaje con un anejo que se parezca a un fichero ejecutable pero que no es claro que represente un ataque; el anfitrión bastión 110 deja pasar entonces el mensaje al comprobador 116. Si el comprobador 116 establece que el anejo es sospechoso, el comprobador 116 lo cifra con una clave de cifrado. El mensaje resultante con el anejo cifrado será hecho pasar, de vuelta, por el anfitrión bastión 110 y al servidor 102 de correo corporativo.
El puesto de trabajo 72 que recibe el mensaje ejecuta una aplicación 212 de software de cliente de correo en el equipo de sobremesa principal 200 y recupera el mensaje del servidor de correo 102. El cliente 212 de correo o cualquier otro software 78 que se ejecute en el equipo de sobremesa principal 200, es capaz de acceder al anejo cifrado; este software no puede, sin embargo, descifrar el anejo cifrado porque no tiene acceso a la clave de cifrado pertinente. Así, no se puede acceder a los datos sospechosos contenidos en el anejo cifrado ni, tampoco, ejecutarlos.
Si un usuario decidiese que el anejo cifrado carece de interés, quizás al leer el mensaje al que se adjunta, puede borrarlo. Sin embargo, un usuario que desee acceder a datos del anejo cifrado debe utilizar, en primer lugar, el proceso de descifrado 80 para descifrar el anejo y hacer pasar sus datos al equipo de sobremesa de "caja de arena". Una vez en el equipo de sobremesa de "caja de arena", puede accederse a los datos, o se les puede ejecutar mediante aplicaciones de software 82, pero las limitaciones de la "caja de arena" restringen el comportamiento de las aplicaciones, de forma que si los datos del anejo demuestran constituir un ataque, cualquier daño consiguiente queda contenido dentro de la "caja de arena", afectando únicamente a las aplicaciones 82 y a sus datos, y no a las aplicaciones 78.
Si el usuario tiene que tomar algunos de los datos contenidos en el anejo devuelto al equipo de sobremesa principal 200, se le hace pasar por el proceso de comprobación 210. Esto aplica comprobadores de contenido a los datos y solamente les permiten pasar si puede determinarse que son seguros. Los datos que no superen el proceso de comprobación 210 no pasan del equipo de sobremesa de "caja de arena" al equipo de sobremesa principal 200.
Si los datos contenidos en el anejo son necesarios, pero no superan el proceso de comprobación 210, el usuario puede hacerlos pasar de vuelta al equipo de sobremesa principal 200 a través del proceso de cifrado 208; en éste, se cifran los datos, que se convierten en inutilizables y, por tanto, seguros. Los datos cifrados pueden hacerse pasar (por ejemplo por correo electrónico) a un equipo central de expertos en seguridad, para someterlos a una revisión manual.
En el ejemplo anterior, si un mensaje o anejo demuestra contener código peligroso, se le pone en la cuarentena 150 de servidor. Sin embargo, son posibles, también, estrategias alternativas; por ejemplo, podría enviarse un mensaje por su camino después de que una parte sospechosa haya sido reemplazada por una notificación de que se ha eliminado dicha parte. Alternativamente, las partes que se encontrasen potencialmente peligrosas, podrían marcarse como tal, cifrarse y, luego, enviarse siguiendo su camino acompañadas por las restantes partes no cifradas. El proceso de descifrado 80 en el puesto de trabajo 72 de un usuario no descifraría los datos potencialmente peligrosos, pero el equivalente en el equipo de sobremesa del equipo central de expertos en seguridad, sí lo haría.
El invento mejora la manipulación de los datos que han sido encontrados sospechosos por el software de comprobación, tal como en 116. Esto reduce el esfuerzo requerido para la intervención manual de los expertos con vistas a comprobar datos sospechosos porque, en muchos casos, un usuario adoptará cualquier acción necesaria sin implicar a los expertos; es decir, en algunos casos, un usuario borrará los datos no deseados y, en otros, solicitará la repetición de los mensajes procedentes de un remitente. La acción del usuario evita la necesidad de la inspección de los expertos y, así, elimina los retrasos introducidos por ellos.
Los programas de ordenador o el software de ordenador apropiados para la ejecución práctica del invento están comercialmente disponibles (por ejemplo, el software de "caja de arena", de cortafuegos o de comprobación) o puede incorporarse en la práctica (por ejemplo, cuando se requiere una interconexión) de manera sencilla por un programador con un conocimiento ordinario, sin que tenga que recurrir al invento. Puede grabarse fácilmente en un medio portador y ejecutarse en un sistema de ordenadores de la clase anteriormente mencionada. Por tanto, dicho software y dicho sistema no se describirán con mayor detalle.

Claims (33)

1. Un sistema de ordenadores (72) para recibir datos (62) que entran desde una fuente externa (60), estando dispuesto el sistema de ordenadores (72) para proporcionar un equipo de sobremesa principal (200) e incluyendo, también, una aplicación de "caja de arena" (76) para recibir datos (62) y definir un equipo de sobremesa de "caja de arena", y medios descifradores (80) para descifrar datos, caracterizado porque:
a)
el sistema de ordenadores (72) está dispuesto para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) e incluye medios de cifrado (68, 208) para cifrar los datos entrantes, potencialmente peligrosos (66) a fin de transformarlos en datos cifrados (70) y convertirlos, por tanto, en inofensivos,
b)
el sistema de ordenadores (72) también está dispuesto para hacer que datos entrantes (65) distinguidos como inofensivos, estén disponibles en forma no cifrada para tratamiento por medio de una aplicación (78) de equipo de sobremesa principal,
c)
los medios descifradores (80) están dispuestos para descifrar los datos cifrados (70) con el fin de transformarlos en datos descifrados, y
d)
una aplicación restringida (82), limitada por la aplicación de "caja de arena" (76), está dispuesta para tratar los datos descifrados.
2. Un sistema de ordenadores (72) de acuerdo con la reivindicación 1, caracterizado porque el sistema de ordenadores (72) incluye un comprobador (64) de software, dispuesto para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66).
3. Un sistema de ordenadores (72) de acuerdo con la reivindicación 2, caracterizado porque el comprobador (64) de software está dispuesto para:
a)
recibir datos entrantes (62) para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66),
b)
dejar pasar los datos entrantes (65) distinguidos como inofensivos para tratamiento con la aplicación (78) de equipo de sobremesa principal, y
c)
enviar los datos entrantes, potencialmente peligrosos (66) a los medios de cifrado (64, 68, 208) para cifra- do.
4. Un sistema de ordenadores (72) de acuerdo con la reivindicación 1, la reivindicación 2 o la reivindicación 3, caracterizado porque la aplicación restringida (82) no comunica directamente con ninguna aplicación (78) asociada con el equipo de sobremesa principal (200).
5. Un sistema de ordenadores (72) de acuerdo con la reivindicación 1, la reivindicación 2, la reivindicación 3 o la reivindicación 4, caracterizado porque está asociado con medios (86, 88) para permitir que un usuario recupere datos de la aplicación de "caja de arena" (76) en forma cifrada, para su retransmisión para una inspección experta (90).
6. Un sistema de ordenadores (72) de acuerdo con una cualquiera de las reivindicaciones 1 a 5, caracterizado porque incluye medios (210) para comprobar los datos descifrados liberados de la aplicación de "caja de arena" (76), en busca de contenido potencialmente peligroso.
7. Un sistema de ordenadores (72) de acuerdo con una cualquiera de las reivindicaciones 1 a 6, caracterizado porque está conectado mediante un cortafuegos (110) a la fuente externa constituida por una red (60).
8. Un sistema de ordenadores (72) de acuerdo con una cualquiera de las reivindicaciones 1 a 6, caracterizado porque incluye un cortafuegos (110) que protege a los medios de comprobación (116) de la fuente externa (60) a la que está conectado el cortafuegos (110).
9. Un sistema de ordenadores (72) de acuerdo con cualquiera de las reivindicaciones precedentes, que incluye software (208) para cifrar datos potencialmente peligrosos que un usuario puede querer tratar utilizando la aplicación (78) de equipo de sobremesa principal en lugar de la aplicación de "caja de arena" (76).
10. Un sistema de ordenadores (72) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque incluye software para permitir que un usuario recupere datos desde la aplicación de "caja de arena" (76) en forma cifrada, para retransmisión para una inspección experta (90).
11. Un sistema de ordenadores (72) de acuerdo con una cualquiera de las reivindicaciones 7 a 10, caracterizado porque incluye software (210) para comprobar datos descifrados, liberados de la aplicación de "caja de arena" (76) en busca de contenido potencialmente peligroso y comprobar si resultan adecuados para tratamiento por la aplicación (78) de equipo de sobremesa principal.
12. Un sistema de ordenadores (72) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque está dispuesto para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) descomponiendo los datos entrantes en partes individuales tales como, por ejemplo, un cuerpo de mensaje y un anejo, y seleccionar para su comprobación (146), partes de datos sucesivas.
13. Un sistema de ordenadores (72) de acuerdo con la reivindicación 12, caracterizado porque está dispuesto para cifrar (158) una parte de los datos que no ha sido verificada en cuanto a su inocuidad (154) y a reemplazar esa parte de los datos por la parte de datos cifrada.
14. Un sistema de ordenadores (72) de acuerdo con la reivindicación 13, caracterizado porque está dispuesto para:
a)
abandonar (152) el tratamiento de un elemento de los datos entrantes si contiene una parte de datos que se ha encontrado (148) que contiene código peligroso, y
b)
proporcionar (156) un elemento parcialmente cifrado y parcialmente no cifrado de los datos entrantes si ha sido tratada una última parte de los datos del elemento de los datos entrantes, no habiéndose abandonado (132) el tratamiento antes de eso.
15. Un método de proteger un sistema de ordenadores (72) contra datos entrantes (62) potencialmente peligrosos procedentes de una fuente externa (60), estando dispuesto el sistema de ordenadores (72) para proporcionar un equipo de sobremesa principal (200) e incluyendo, también, una aplicación de "caja de arena" (76) para recibir datos y definir un equipo de sobremesa de "caja de arena", y medios para descifrar datos, caracterizado porque el método incorpora los pasos de:
a)
distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) y cifrar los datos entrantes potencialmente peligrosos (66) para transformarlos en datos cifrados inofensivos (70),
b)
hacer que los datos entrantes (65) distinguidos como inofensivos queden disponibles, en forma no cifrada para tratamiento por medio de una aplicación (78) de un equipo de sobremesa principal,
c)
descifrar los datos cifrados (70) para transformarlos en datos descifrados, y
d)
tratar los datos descifrados por medio de una aplicación restringida (82), limitada por la aplicación (76) de "caja de arena".
16. Un método de acuerdo con la reivindicación 15, caracterizado porque el paso de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) y cifrar los datos entrantes potencialmente peligrosos (66), comprende utilizar un comprobador de software para comprobar los datos entrantes (62).
17. Un método de acuerdo con la reivindicación 16, caracterizado porque el comprobador (64) de software está dispuesto para llevar a la práctica los pasos de:
a)
recibir datos entrantes (62) para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66),
b)
dejar pasar los datos entrantes (65) distinguidos como inofensivos para tratarlos con la aplicación (78) de equipo de sobremesa principal, y
c)
enviar los datos potencialmente peligrosos (66) para su cifrado.
18. Un método de proteger un sistema de ordenadores (72) de acuerdo con la reivindicación 17, caracterizado porque el comprobador (116) de software está protegido mediante un cortafuegos (110) de la fuente externa (60).
19. Un método de proteger un sistema de ordenadores (72) de acuerdo con las reivindicaciones 16, 17 o 18, caracterizado porque la aplicación restringida (82) no comunica con ninguna aplicación (78) asociada con el equipo de sobremesa principal (200).
20. Un método de proteger un sistema de ordenadores (72) de acuerdo con las reivindicaciones 16, 17, 18 o 19, caracterizado porque incluye el paso de recuperar datos de la aplicación de "caja de arena" (76) en forma cifrada para retransmisión para su inspección experta (90),
21. Un método de proteger un sistema de ordenadores (72) de acuerdo con una cualquiera de las reivindicaciones 16 a 20, caracterizado porque incluye comprobar datos descifrados liberados del equipo de sobremesa de "caja de arena" (76) en busca de contenidos potencialmente peligrosos.
22. Un método de proteger un sistema de ordenadores (72) de acuerdo con la reivindicación 16, caracterizado porque el sistema de ordenadores (72) está conectado mediante un cortafuegos (110) a la fuente externa que está constituida por una red (60).
23. Un método de proteger un sistema de ordenadores (72) de acuerdo con una cualquiera de las reivindicaciones 15 a 22, caracterizado porque el paso de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) se lleva a la práctica descomponiendo los datos entrantes en partes de datos individuales tales como, por ejemplo, un cuerpo de mensaje y un anejo, y seleccionar para comprobación (146) partes de datos sucesivas.
24. Un método de proteger un sistema de ordenadores (72) de acuerdo con la reivindicación 23, caracterizado porque el paso de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) incluye cifrar (158) una parte de datos que no han sido verificados como inofensivos (154) y reemplazar esa parte de los datos con la parte de datos cifrada.
25. Un método de proteger un sistema de ordenadores (72) de acuerdo con la reivindicación 24, caracterizado porque el paso de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) incluye:
a)
abandonar (152) el tratamiento de un elemento de los datos entrantes si contiene una parte de datos que se ha encontrado (148) que contiene código peligroso, y
b)
proporcionar (156) un elemento parcialmente cifrado y parcialmente no cifrado de los datos entrantes si, al menos, se ha tratado parte de los datos del elemento de los datos entrantes, sin que se haya abandonado (152) el tratamiento antes de eso.
26. Software de ordenador para proteger un sistema de ordenadores (72) contra datos entrantes potencialmente peligrosos (62) recibidos desde una fuente externa (60), estando dispuesto el software de ordenador para proporcionar un equipo de sobremesa principal (200) e incluyendo software de descifrado para descifrar datos y una aplicación de "caja de arena" (76) para recibir datos y definir un equipo de sobremesa de "caja de arena", caracterizado porque el software de ordenador está dispuesto para controlar el sistema de ordenadores (72) para:
a)
distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) y cifrar los datos entrantes potencialmente peligrosos (66) para transformarlos en datos cifrados inofensivos (70),
b)
hacer que los datos entrantes (65) distinguidos como inofensivos, estén disponibles en forma no cifrada para tratamiento por medio de una aplicación (78) de equipo de sobremesa principal,
c)
descifrar los datos cifrados (70) para transformarlos en datos descifrados, y
d)
tratar los datos cifrados por medio de una aplicación (82) restringida limitada por la aplicación (76) de "caja de arena".
27. Software de ordenador de acuerdo con la reivindicación 26, caracterizado porque está dispuesto para controlar el sistema de ordenadores (72) a fin de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) y cifrar los datos entrantes potencialmente peligrosos (66):
a)
comprobar los datos entrantes (62) para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66),
b)
dejar pasar los datos entrantes (65) distinguidos como inofensivos para tratamiento con la aplicación (78) de equipo de sobremesa principal, y
c)
cifrar los datos entrantes (66) distinguidos como potencialmente peligrosos.
28. Software de ordenador de acuerdo con la reivindicación 26 o la reivindicación 27, caracterizado porque la aplicación restringida (82) está dispuesta para no comunicarse directamente con ninguna aplicación (78) asociada con un equipo de sobremesa principal (200) del sistema de ordenadores (72).
29. Software de ordenador de acuerdo con las reivindicaciones 26, 27 o 28, caracterizado porque está dispuesto para controlar el sistema de ordenadores (72) a fin de recuperar datos de la aplicación de "caja de arena" (76) en forma cifrada para retransmisión a una inspección experta (90).
30. Software de ordenador de acuerdo con una cualquiera de las reivindicaciones 26 a 29, caracterizado porque está dispuesto para controlar el sistema de ordenadores (72) a fin de comprobar los datos descifrados liberados del equipo de sobremesa de "caja de arena" (76) en busca de contenidos potencialmente peligrosos.
31. Software de ordenador de acuerdo con una cualquiera de las reivindicaciones 26 a 30, caracterizado porque está dispuesto para controlar el sistema de ordenador (72) a fin de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) descomponiendo los datos entrantes en partes de datos individuales tales como, por ejemplo, un cuerpo de mensaje y un anejo, y seleccionado partes de datos sucesivas para comprobación (146).
32. Software de ordenador de acuerdo con la reivindicación 31, caracterizado porque está dispuesto para controlar el sistema de ordenadores (72) a fin de distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66) mediante un proceso que incluye cifrar (158) una parte de datos que no ha sido verificada como inofensiva (154) y reemplazar esa parte de datos por la parte de datos cifrada.
33. Software de ordenador de acuerdo con la reivindicación 32, caracterizado porque está dispuesto para controlar el sistema de ordenadores (72) para distinguir datos entrantes inofensivos (65) de datos entrantes potencialmente peligrosos (66), mediante un proceso que incluye:
a)
abandonar (152) el tratamiento de un elemento de los datos entrantes si contiene una parte de datos que se ha encontrado (148) que contiene código peligroso, y
b)
proporcionar (156) un elemento parcialmente cifrado y parcialmente no cifrado de los datos entrantes si, al menos, se ha tratado parte de los datos del elemento de los datos entrantes, no habiéndose abandonado (152) el tratamiento antes de eso.
ES05026445T 2001-01-13 2001-12-24 Proteccion de sistemas de ordenadores. Expired - Lifetime ES2297596T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0100955A GB2371125A (en) 2001-01-13 2001-01-13 Computer protection system
GB0100955 2001-01-13

Publications (1)

Publication Number Publication Date
ES2297596T3 true ES2297596T3 (es) 2008-05-01

Family

ID=9906799

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05026445T Expired - Lifetime ES2297596T3 (es) 2001-01-13 2001-12-24 Proteccion de sistemas de ordenadores.

Country Status (8)

Country Link
US (1) US7398400B2 (es)
EP (2) EP1377890B1 (es)
JP (2) JP2004518193A (es)
AT (2) ATE386304T1 (es)
DE (2) DE60132833T2 (es)
ES (1) ES2297596T3 (es)
GB (1) GB2371125A (es)
WO (1) WO2002056156A2 (es)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060277433A1 (en) * 2000-05-19 2006-12-07 Self Repairing Computers, Inc. Computer having special purpose subsystems and cyber-terror and virus immunity and protection features
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US8972590B2 (en) 2000-09-14 2015-03-03 Kirsten Aldrich Highly accurate security and filtering software
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7096498B2 (en) * 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US8838950B2 (en) 2003-06-23 2014-09-16 International Business Machines Corporation Security architecture for system on chip
US7353536B1 (en) * 2003-09-23 2008-04-01 At&T Delaware Intellectual Property, Inc Methods of resetting passwords in network service systems including user redirection and related systems and computer-program products
GB2411799A (en) * 2004-03-02 2005-09-07 Vistorm Ltd Virus checking devices in a test network before permitting access to a main network
US7669059B2 (en) * 2004-03-23 2010-02-23 Network Equipment Technologies, Inc. Method and apparatus for detection of hostile software
US20050273853A1 (en) * 2004-05-24 2005-12-08 Toshiba America Research, Inc. Quarantine networking
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
JP4643221B2 (ja) * 2004-10-25 2011-03-02 株式会社東芝 故障解析支援端末および故障解析支援情報提供装置
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US20060112430A1 (en) * 2004-11-19 2006-05-25 Deisenroth Jerrold M Method and apparatus for immunizing data in computer systems from corruption
US8131804B2 (en) * 2004-11-19 2012-03-06 J Michael Greata Method and apparatus for immunizing data in computer systems from corruption
US7519809B2 (en) * 2005-04-07 2009-04-14 International Business Machines Corporation Operating system-wide sandboxing via switchable user skins
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
GB2427048A (en) * 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8024797B2 (en) * 2005-12-21 2011-09-20 Intel Corporation Method, apparatus and system for performing access control and intrusion detection on encrypted data
US20070256082A1 (en) * 2006-05-01 2007-11-01 International Business Machines Corporation Monitoring and controlling applications executing in a computing node
WO2008001344A2 (en) 2006-06-27 2008-01-03 Waterfall Solutions Ltd One way secure link
IL177756A (en) * 2006-08-29 2014-11-30 Lior Frenkel Encryption-based protection against attacks
IL180020A (en) 2006-12-12 2013-03-24 Waterfall Security Solutions Ltd Encryption -and decryption-enabled interfaces
IL180748A (en) 2007-01-16 2013-03-24 Waterfall Security Solutions Ltd Secure archive
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8223205B2 (en) 2007-10-24 2012-07-17 Waterfall Solutions Ltd. Secure implementation of network-based sensors
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US20100071054A1 (en) * 2008-04-30 2010-03-18 Viasat, Inc. Network security appliance
US8627060B2 (en) * 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface
US8365259B2 (en) * 2008-05-28 2013-01-29 Zscaler, Inc. Security message processing
JP5423063B2 (ja) * 2009-03-05 2014-02-19 日本電気株式会社 情報処理装置と方法とプログラム
US8749662B2 (en) 2009-04-16 2014-06-10 Nvidia Corporation System and method for lens shading image correction
GB2470928A (en) * 2009-06-10 2010-12-15 F Secure Oyj False alarm identification for malware using clean scanning
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8850572B2 (en) * 2010-01-15 2014-09-30 Apple Inc. Methods for handling a file associated with a program in a restricted program environment
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
GB201008888D0 (en) * 2010-05-27 2010-07-14 Qinetiq Ltd Network security
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
EP2831795B1 (en) * 2012-03-30 2019-01-09 Irdeto B.V. Securing accessible systems using variable dependent coding
US9256733B2 (en) 2012-04-27 2016-02-09 Microsoft Technology Licensing, Llc Retrieving content from website through sandbox
US9635037B2 (en) 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
US9380023B2 (en) 2013-05-13 2016-06-28 Owl Computing Technologies, Inc. Enterprise cross-domain solution having configurable data filters
KR101429131B1 (ko) * 2013-06-12 2014-08-11 소프트캠프(주) 시스템 보호를 위한 파일 보안용 관리장치와 관리방법
US9542568B2 (en) * 2013-09-25 2017-01-10 Max Planck Gesellschaft Zur Foerderung Der Wissenschaften E.V. Systems and methods for enforcing third party oversight of data anonymization
US9633200B2 (en) * 2014-09-26 2017-04-25 Oracle International Corporation Multidimensional sandboxing for financial planning
IL235175A (en) 2014-10-19 2017-08-31 Frenkel Lior Secure desktop remote control
US10291647B2 (en) * 2015-04-27 2019-05-14 The Johns Hopkins University Apparatus and method for enabling safe handling of malware
IL250010B (en) 2016-02-14 2020-04-30 Waterfall Security Solutions Ltd Secure connection with protected facilities
US11194823B2 (en) 2016-05-10 2021-12-07 Aircloak Gmbh Systems and methods for anonymized statistical database queries using noise elements
JP6381837B1 (ja) * 2018-01-17 2018-08-29 株式会社Cygames 通信を行うためのシステム、プログラム、方法及びサーバ
JP7247753B2 (ja) * 2019-05-30 2023-03-29 株式会社デンソーウェーブ 送信システム及び送信方法
DE102021129026A1 (de) 2021-11-08 2023-05-11 KraLos GmbH Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
LU500837B1 (de) 2021-11-08 2023-05-15 KraLos GmbH Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006328A (en) * 1995-07-14 1999-12-21 Christopher N. Drake Computer software authentication, protection, and security system
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
GB2315575A (en) * 1996-07-19 1998-02-04 Ibm Encryption circuit in I/O subsystem
US5871814A (en) * 1997-07-18 1999-02-16 Robotech, Inc. Pneumatic grip
US6691230B1 (en) * 1998-10-15 2004-02-10 International Business Machines Corporation Method and system for extending Java applets sand box with public client storage
US6519702B1 (en) * 1999-01-22 2003-02-11 Sun Microsystems, Inc. Method and apparatus for limiting security attacks via data copied into computer memory
US6986052B1 (en) * 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition

Also Published As

Publication number Publication date
GB0100955D0 (en) 2001-02-28
DE60132833T2 (de) 2009-02-05
EP1632833A3 (en) 2006-05-10
WO2002056156A2 (en) 2002-07-18
WO2002056156A3 (en) 2003-11-06
JP2004518193A (ja) 2004-06-17
JP2007234051A (ja) 2007-09-13
ATE386304T1 (de) 2008-03-15
DE60132833D1 (de) 2008-03-27
DE60123672T2 (de) 2007-08-16
US7398400B2 (en) 2008-07-08
EP1377890B1 (en) 2006-10-04
GB2371125A (en) 2002-07-17
DE60123672D1 (de) 2006-11-16
EP1377890A2 (en) 2004-01-07
ATE341794T1 (de) 2006-10-15
EP1632833B1 (en) 2008-02-13
EP1632833A2 (en) 2006-03-08
US20040139334A1 (en) 2004-07-15

Similar Documents

Publication Publication Date Title
ES2297596T3 (es) Proteccion de sistemas de ordenadores.
Mohurle et al. A brief study of wannacry threat: Ransomware attack 2017
US7788235B1 (en) Extrusion detection using taint analysis
Dwoskin et al. Hardware-rooted trust for secure key management and transient trust
Kesh et al. A framework for analyzing e‐commerce security
Johnson Computer incident response and forensics team management: Conducting a successful incident response
US20130145483A1 (en) System And Method For Processing Protected Electronic Communications
US20110296164A1 (en) System and method for providing secure network services
JP2008537195A5 (es)
US6560705B1 (en) Content screening with end-to-end encryption prior to reaching a destination
CN109644196A (zh) 消息保护
Boyles CCNA security study guide: exam 640-553
Bojarski Dealer, hacker, lawyer, spy: Modern techniques and legal boundaries of counter-cybercrime operations
US7788481B2 (en) Computer network protection
Rai et al. Cyber Security
US10291647B2 (en) Apparatus and method for enabling safe handling of malware
Azari Current security management & ethical issues of information technology
Chinyemba et al. Gaps in the Management and Use of Biometric Data: A Case of Zambian Public and Private Institutions
McMillian Importance of a standard methodology in computer forensics
Khavya et al. Forensic analysis and security assessment in Android m-Banking applications: A survey
Bell Identifying Financial Loss Caused by Social Engineering
Krutz et al. The CISM prep Guide: Mastering the five Domains of Information security management
Puiszis Can't Live with Them, Can't Live without Them-Ethical and Risk Management Issues for Law Firms that Adopt a BYOD Approach to Mobile Technology
Isaac et al. The SSCP prep guide: mastering the seven key areas of system security
Aiello How Cryptography Can Augment Zero Trust