Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Mitos y verdades en la seguridad de los antivirus
|
|
VSantivirus No. 732 - Año 6 - Martes 9 de julio de 2002
Mitos y verdades en la seguridad de los antivirus
http://www.vsantivirus.com/mr-mitos.htm
Por Marcos Rico (*)
marcos@videosoft.net.uy
En este artículo voy a intentar destruir algunos mitos que rodean al mundo de los virus y los antivirus. Mis conocimientos están basados en la experiencia directa sobre los virus, así que no me baso únicamente en la información aportada por los expertos de las compañías antivirus que, si bien son perfectos conocedores del asunto, en cambio son parte interesada como es lógico.
Como Ustedes habrán colegido soy coleccionista de virus, troyanos, gusanos, etc. Así que no me baso en estudios de terceros sino en los míos propios.
Esto me da la ventaja de la independencia y así logro acercarme (al menos esto creo) a una información más objetiva.
Por supuesto, quiero dejar bien claro que mis colecciones de virus no salen de mi
'laboratorio'. Estudiando sus efectos puedo ayudarles a Uds. después para que todos naveguemos más seguros por Internet.
Antes de analizar en profundidad el asunto de la seguridad que proporcionan los antivirus, quisiera apuntalar a priori ciertas cuestiones previas que nos ayudarán en la lectura y comprensión del texto.
En primer lugar quisiera huir de alarmismos superfluos que sólo sirven para vender titulares. VSAntivirus es una Web seria que no recurre a esos subterfugios para vender nada. El peligro de los virus hay que calibrarlo en su justa medida. Ni podemos convertirnos en unos paranoicos de la seguridad ni podemos actuar con total desidia ante un peligro que ciertamente existe.
Una vez establecido un razonable término medio, pasemos a abordar el asunto.
En primer lugar quisiera distinguir entre los virus 'In The Wild' (virus de difusión masiva; generalmente gusanos) y los virus de coleccionistas.
Esta distinción es fundamental porque hay antivirus que han proporcionado unos resultados muy notables cuando se han sometido al análisis de virus 'In The Wild', pero su rendimiento ha bajado espectacularmente cuando los he enfrentado a una colección particular como la mía.
Recuerdo que cuando hice una prueba independiente con cierto antivirus poco conocido, quedé muy decepcionado por los resultados obtenidos; sin embargo cuando lo sometí únicamente a virus 'In The Wild', era muy superior a otros antivirus mucho más conocidos.
Si somos realistas hemos de pensar que muy rara vez nos vamos a encontrar en Internet con un virus raro de coleccionista, así que parece a priori una buena política concentrar los mayores esfuerzos en protegernos de los virus de difusión masiva. Aún así nunca descartemos los otros virus, los más raros, porque son muy utilizados cuando alguien quiere atacar únicamente el ordenador de una víctima determinada (los virus 'In The Wild' están hechos pensando más en una infección masiva impersonal).
Otro aspecto que quiero abordar es el tiempo de reacción de las compañías antivirus ante una nueva amenaza. ¡Que nadie piense que actualizando todos los días su antivirus está totalmente protegido contra todos los virus!.
Esto lo sabemos muy bien los coleccionistas que estamos 'a la caza' de virus y troyanos en las Webs de sus creadores. Es muy curioso descargarme un virus de una Web y observar en los días siguientes cuánto tiempo tardan las empresas antivirus en activar la vacuna correspondiente.
Piensen Uds. que en esos días de investigación de la solución en los laboratorios de las empresas antivirus, nuestros ordenadores pueden quedar infectados si tenemos mala suerte.
¿Me preguntan Uds. por el tiempo de reacción de las compañías antivirus?. Desde luego es muy variable. Depende de varios factores:
1. La difusión del virus: Cuanto más difundido esté el virus, más esfuerzos emplearán en su detección.
2. La fama que tenga su creador o la Web donde aparecerá: Es obvio que todos los laboratorios de las compañías antivirus estarán más pendientes del trabajo de un programador famoso como MobMan (el programador de Sub7) que de otro más bisoño y desconocido.
3. Las dificultades propias de la encriptación del código fuente del virus. Cuanto más polimórfico sea y más funciones dañinas posea, más tiempo llevará su estudio y detección.
4. El número de investigadores y laboratorios que la empresa antivirus posea. Cuantos más sean, mejor.
5. La sagacidad de las compañías antivirus para buscar nuevos virus en Internet. En algunas páginas de programadores de virus he visto como le prohibían el acceso a ciertas IPs que habían identificado como provenientes de empresas antivirus. Es muy importante que esas empresas se infiltren en foros, en Webs y en esos ambientes donde se gestan las mayores amenazas de Internet.
Con todo lo expuesto arriba, el tiempo de reacción de las compañías antivirus fluctúa desde sólo unas horas después de los primeros infectados hasta varias semanas e incluso meses. De todo he visto en los años que estoy encima de esta cuestión.
Para evitar que quedemos infectados en ese período de tiempo, muchos antivirus presumen de tener un motor heurístico muy potente que puede protegernos de las amenazas que no están aún en su base de datos.
Esto de los motores heurísticos es muy discutible y ahora explico la razón.
En teoría el motor heurístico sigue unos parámetros semi-inteligentes para detectar el código maligno del virus. Si bien se muestran algunos muy eficaces en cuanto a los gusanos y determinado tipo de virus, en cambio su rendimiento baja espectacularmente cuando enfrentamos el motor heurístico a los troyanos.
Además voy a decirles que los programadores de virus suelen 'trabajar' el código fuente de sus virus hasta que son indetectables para los antivirus: ¡Y al final esto siempre lo pueden conseguir si se lo proponen!.
Otro aspecto negativo de los motores heurísticos es que a veces provocan falsas alarmas ante el código inofensivo de ciertos programas. Esto hace que nos sintamos más incómodos manejando los antivirus.
Finalmente quisiera abordar la cuestión más delicada de todas. Vamos a expresarlo bien claro aunque la reflexión pueda suscitar alguna preocupación en nuestros lectores: Hoy en día es factible modificar aspectos de un virus antiguo o moderno para volverlo a hacer indetectable ante todos los antivirus de la actualidad.
Cierto es que esto no se puede realizar con el código de cualquier virus (a menos que pierda todas las características originales: pero en este caso ya no estaríamos hablando del mismo virus sino de otro nuevo). Los troyanos se prestan muy bien a estas modificaciones y puedo asegurarles a Uds. que poseo en mi colección servidores del troyano Sub7 modificados (siempre con objetivos de investigación) que ningún antivirus conocido en la actualidad detectan.
Existen técnicas de ocultación del código bien conocidas en los foros de los programadores de virus y sorprendentemente son fáciles de aplicar. ¡Algún desaprensivo puede reactivar un viejo troyano otra vez si así se lo propone!.
Generalmente si un antivirus detecta el código de un programa vírico, es muy difícil modificar el código de ese virus sin modificar sus funciones.
Algunos intentan hacer esto con editores hexadecimales, pero la mayoría de las veces acaban desistiendo porque es casi imposible (si no se poseen conocimientos suficientes) engañar al antivirus una vez que posee la secuencia del código en su base de datos. Más bien la técnica aplicada con más éxito radica en la compresión y posterior encriptación del código, seguidas de otras técnicas colaterales que pueden ser también necesarias dependiendo de la naturaleza del virus. No detallaré el procedimiento como es lógico, pero les aseguro que en algunos casos los resultados son preocupantes para nuestra seguridad.
Afortunadamente la reactivación de viejos virus 'In The Wild' está muy controlada por las compañías antivirus y rápidamente tenemos la 'vacuna' correspondiente a las pocas horas. Es por ello que al principio del artículo insistía en eliminar los alarmismos innecesarios. El único inconveniente radica en los virus y troyanos de coleccionistas que alguien modifica subrepticiamente para atacar específicamente a una víctima. Esos virus modificados nunca tendrán repercusión masiva en Internet y permanecerán indetectables en el ordenador de la víctima haciendo su función maligna.
Mi propósito a la hora de escribir este artículo no ha sido otro que el de acabar con unos cuantos mitos que circulan por Internet sobre los virus y los antivirus. Sólo permaneciendo informados podemos saber a lo que nos exponemos y a lo que no nos exponemos. Podríamos resumir el artículo en las siguientes frases:
1. Debemos evitar la falsa percepción de seguridad que tenemos cuando actualizamos diariamente nuestro antivirus. Aún con la actualización (necesaria por otra parte) podemos quedar infectados si no tomamos las precauciones que nos dicta el sentido común (no descargar archivos de procedencia dudosa, no aceptar nada de un desconocido en el IRC, etc.).
2. Un buen motor heurístico en un antivirus que apenas tiene bases de virus no ofrece la suficiente garantía porque, como he explicado antes, siempre puede ser evitado por un programador de virus si se lo propone. En este caso la fiabilidad de los motores heurísticos depende de la fama que posea el antivirus. Si el antivirus es muy famoso, el programador de virus lo tomará como referencia para esquivar su detección; en cambio, si no es famoso entonces podría pasar inadvertido y así tendría éxito. Sé que es muy discutible lo que acabo de afirmar, pero después de algunos años de investigación independiente en este terreno, es la conclusión a la que he llegado.
3. Para acelerar el tiempo de reacción ante una nueva amenaza vírica, las compañías antivirus deben adquirir una conciencia activa de trabajo y nunca pasiva. Muchas veces no reaccionan hasta que no tienen a varios de sus clientes infectados y les envían las muestras de los archivos infectados. No hay que dar lugar a eso si es posible. Para ello deben salir con más decisión a la búsqueda de los virus por Internet, infiltrándose en foros, visitando Webs de virus, comunicándose en el IRC con los programadores de virus para intercambiar impresiones; exactamente lo que investigadores ociosos como yo hacemos todos los días por puro placer.
4. Las bases de virus de los antivirus no suelen tampoco reflejar fielmente la calidad de detección de un antivirus. Algunos productos de este tipo, los que llevan más tiempo en el mercado, presumen de poseer inmensas bases de virus que superan las 60.000. Habría que estudiar con mucho detenimiento esas bases porque en muchos casos observamos que para conseguir un número más elevado recurren a identificar como amenazas víricas unos programas que son totalmente inofensivos para el ordenador en el que se instalan. Me refiero a los Nukers, Flooders, etc. ¿Por qué detectar un programa que no causa ningún daño al ordenador donde está instalado el antivirus?. Aún así pueden orientarnos un poco sobre el número de bases de virus.
5. Cuando vayan a instalar un antivirus, estudien antes varias comparativas (cuantas más, mejor). No se preocupen en exceso por los datos a veces muy contradictorios que suelen manejarse en los resultados de las comparativas. Es lógico que así suceda cuando se eligen condiciones iniciales para la prueba muy desemejantes. Tengan en cuenta quién hace la comparativa y qué fiabilidad nos merece. Prefieran siempre un antivirus con muchas bases de virus actualizadas con rapidez a uno que confíe demasiado sus aciertos a la heurística. Y sobre todo tengan en cuenta que no siempre el antivirus más caro y famoso es el mejor.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|