El tallafocs personal és una de les mesures "estrella" recomanada des de fa molts anys per lluitar contra tot tipus de mals. La inèrcia de la recomanació ha seguit fins als nostres dies, on un tallafocs entrant tradicional, poc o res pot fer contra molts dels atacs més sofisticats que es pateixen avui en dia. Vegem per què. Instal · lar un tallafocs personal era imprescindible fa deu anys. Els sistemes operatius (per anomenar d'alguna manera) Windows 9X estaven connectats directament a la xarxa, amb IP pública a través de mòdem. No comptar amb un firewall constituïa un suïcidi tecnològic. Després d' Sasser i Blaster, XP SP2 es va instaurar amb tallafocs entrant integrat i actiu. Les regles del joc van canviar per complet, però sembla que pocs es van acordar d'actualitzar les instruccions. Els atacants es adaptar ràpid, les víctimes ... encara no. El tallafocs entrant Avui dia un tallafocs entrant no és útil contra el malware, han après a sortejar i és complicat trobar troians "clàssics" que obrin ports en el sistema. A més, encara que ho aconseguissin, no seria efectiva aquesta tècnica: avui també és molt més habitual connectar-se a la xarxa de manera indirecta, anteposant un router. Aquests routers solen disposar de tallafocs que protegeix de l'exterior i, encara que no ho tinguessin, un atacant hauria de realitzar una traducció a adreces i ports interns per arribar al sistema que vol atacar. Per tant, el tallafocs entrant en el sistema no està dissenyat contra el malware d'avui. Seria una eina més útil contra un altre tipus d'atacs. El tallafocs sortint Què és efectiu llavors? El tallafocs sortint. Aquest que va introduir Vista el 2006 ... desactivat per defecte i per tant, amb nul impacte real a la Xarxa seu avantatge és que detindria a una bona part (em gosaria dir que la immensa majoria) dels troians actuals, que depèn d'infraestructures externes per sortir a Internet i infectar el sistema. El seu problema és que si bé no totes les aplicacions legítimes reben connexions procedents de l'exterior (no han de ser revisades pel tallafocs entrant), sí que gairebé totes avui en dia es comuniquen amb el exterior, i haurien per tant d'estar contemplades com a excepció en el tallafocs sortint. És una tasca complexa, però tenint en compte el bé que se les ha apanyat Windows amb Vista i 7 per dissenyar un tallafocs entrant que no "destorba" i és efectiu, sospito que en el futur podria tenir-lo actiu per defecte si treballen certs aspectes. Per exemple, podrien afegir certes funcions per fer més còmoda un tallafocs sortint. Aquestes són algunes idees: * Que només les aplicacions signades poguessin sortir sense problema a Internet. Les no signades, demanarien confirmació. * Que només les aplicacions allotjades en certes rutes (en les quals el usuari no té permís d'escriptura com a tal, només com a administrador) poguessin sortir sense problemes. * Funció per bloquejar aplicacions per hash, * Funció per bloquejar aplicacions segons el lloc d'on prové (Descarregada des d'alguna zona concreta de l'Internet Explorer ...) ¿Filosofia AppLocker aplicada al tallafocs? Escrivint aquestes recomanacions, descobrim ràpidament que en realitat són les mateixes funcions i condicions amb les que permet jugar AppLocker i SRP (Programari Restriction Policy), una tecnologia ja activa des de fa anys en Windows per bloquejar l'execució de programes sota certes circumstàncies. La idea per implementar un tallafocs sortint efectiu seria traslladar aquest concepte a la "Connexió", en comptes de a la "execució". Per descomptat que això tindria problemes. Per exemple AppLocker i SRP són eludibles de diferents maneres. Per descomptat que, tot i amb totes les barreres actives, un troià pot injectar en l'espai de memòria d'un procés existent en el sistema i sortir a Internet camuflat. O pitjor encara, assolir el ring0 i modificar el comportament de sistema on cap regla tindria ja valor. Això se sap des de fa temps i és una tècnica usada per troians sofisticats. Però si almenys es implementés una cosa així, s'estaria elevant un llistó que, en aquest sentit, ara mateix està abandonat a terra mentre el malware campa a plaer.