|
VSantivirus No. 861 - Año 7 - Viernes 15 de noviembre de 2002
Entrevista a Anton Zajac para Nautopia
http://www.vsantivirus.com/nau-zajac.htm
Artículo publicado originalmente en
http://nautopia.web1000.com/Entrevistas/simo2002/simo_nod.htm
Redactores del cuestionario: Maty y Wolffete
Entrevistador: Wolffete
Preámbulo
Con motivo del reciente S.I.M.O. 2002, un nautópata tuvo la grata oportunidad de charlar durante un buen rato con Anton Zajac, Vicepresidente Ejecutivo de ESET y mente pensante del antivirus NOD32. Todo esto no hubiera sido posible sin la colaboración de Vicente Coll, gerente de Ontinet.com (empresa distribuidora oficial en España de dicho antivirus), que hizo el esfuerzo de traer al evento algo más que las habituales chicas bonitas y un stand con pegatinas y calendarios, todo hay que decirlo. Otras compañías deberían tomar nota de su ejemplo. Gracias, Vicente.
Paso ahora a exponeros un resumen de la conversación. Digo resumen, dado que A. Zajac amablemente solía reforzar con esquemas e informes la contestación a nuestras preguntas, de ahí que intercale sus respuestas con algunas aclaraciones e interpretaciones que saqué en claro. En fin, omitiré las presentaciones de rigor y vamos a ello (la fotografía es ampliable).
Entrevista
Sr. Zajac, a primeros de año Vicente Coll nos facilitó el antivirus NOD32, el cual evaluamos y dimos a conocer en el mundo hispano, donde era poco conocido, mencionando el buenhacer del módulo monitor Amon y el "poco peso" que significa para los recursos del sistema (algo digno de destacar), de ahí que le agradeceríamos respondiese a unas cuantas preguntas muy concretas sobre el antivirus NOD32.
1.- La heurística de los antivirus cada vez muestra más problemas de fiabilidad. ¿Para cuándo el NOD32 tendrá actualizaciones diarias, incluso varias al día? Tendría entonces una buena heurística y una base prontamente actualizada.
Anton comenzó con sus esquemas. En una línea de tiempo, marcó diferentes intervalos desde el punto en que aparece un nuevo virus hasta el momento final de las actualizaciones:
"Aparecen del orden de 500 a 800 nuevos virus al mes. Las compañías antivirus deben contar con muestras fiables; parte de ellas proceden de las R.E.V.S. (Rapid Exchange of Virus Samples), que permiten el intercambio rápido de esta información"
-Os comento que la WildList Organization Internacional es una de las emisoras de R.E.V.S.-
"Es necesario un análisis de la muestra y crear posteriormente el código para la actualización; hasta el momento en que ésta está disponible para el usuario final, puede transcurrir un período de tiempo variable, desde una hora hasta dos semanas en casos extremos. Una heurística eficiente nos mantiene protegidos sin esta dependencia. En resumen: la heurística es mucho más importante que las actualizaciones diarias."
De acuerdo, pero es un punto que muchos usuarios destacan a la hora de valorar un buen antivirus y que de hecho comentamos con frecuencia en nuestros foros. ¿Cómo podrías convencerles de ello?
-Anton aceptó la insistencia y volvió al tema-
"Dos de los aspectos más importantes son la detección y la rapidez en el estudio. ¿Esto cómo se mide?
Debe ser independiente.
Deben ser muestras de virus reales, vivos. Los virus obtenidos por medio de programas generadores, o de laboratorio, que nunca ven la luz, no son preocupantes para el usuario al no ser circulantes.
Centrémonos en la WildList Org. Int. y la lista de virus In The Wild. NOD32 lleva otorgados más VB100% que ningún otro y esto es importante destacarlo. Existen otras compañías (muy conocidas, omitiré los nombres) que no han alcanzado tantos galardones, que no han superado los test a pesar de conocer que las pruebas iban a ser realizadas con estos virus in the wild. ¿Por qué es tan importante esto? Los antivirus deben ser capaces de enfrentarse a los virus in the wild más los nuevos virus (los no registrados, desconocidos aún y por tanto inexistentes en las bases actualizables) y contra éstos últimos sólo una eficaz heurística puede actuar."
2.- El NOD32 no revisa adecuadamente los comprimidos *.ACE y *.RAR. ¿Se está trabajando en ello? También sería lógico revisar el formato UPX, tan utilizado por los creadores de virus.
"Sí, veamos, es algo que tenemos en cuenta. Actualmente estamos trabajando con un nuevo inspector genérico de comprimidos que debe superar este tema. Te puedo comentar que tenemos a personal muy cualificado dedicado a ello en exclusiva y está dando buenos resultados."
3.- La fuente de infección más habitual es el correo. THE BAT es el gestor que recomendamos en NAUTOPIA. El NOD32 tiene un plugin beta, poco efectivo, y el módulo POP3SCAN sólo avisa, no desinfecta, resultando poco práctico. ¿Se ha pensado en colaborar con THE BAT, EUDORA, POCOMAIL y otros gestores para la integración total del NOD32 en los gestores?
"Sí, hemos previsto este aspecto y para ello en la nueva versión el POP3Scan se va a reemplazar por el WinSock scanner. El IMON será válido para pop3, ftp, etc. Es una de las novedades y muy prometedora."
-Comenzó a hablar de la nueva versión, pero ya lo veréis más adelante-
4.- El antivirus NOD32 tiene problemas con ciertos troyanos que se cuelan desde los navegadores. Hablemos de este punto de: .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS, .SHB, etc.
"En el aspecto de detección, debemos diferenciar las distintas familias (virus, gusanos, etc.) y cubrir las posibilidades bien con heurística o con bases actualizables si es posible. La heurística debe tener en cuenta cada tipo (p.e. gusanos win32) y analizar en función de ello."
-Comentamos brevemente la existencia de nuevos troyanos de difícil detección y al menos saqué en claro que se tiene constancia de ello; confío en que trabajan en solucionarlo-
5.- La siguiente versión 2.0 del NOD32 ¿qué cosas nuevas aportará?
"Contará con nueva integración de módulos de NOD32 en el Centro de Control; administración centralizada de LOGs (de diferentes módulos: AMON, NOD32-on-demand, Winsock, Update Log, Event log, Virus Log…); nueva modularización que facilitará la integración con Third-Party Products; Scheduler, profiles, el ya comentado Winsock (pop3, ftp, etc.); Quarantine…todo ello junto a una Network Management Console."
-Quiero mencionar que hablamos de realidades; Anton la tenía instalada en su ordenador portátil-
6.- Hoy en día es muy conveniente el uso de dos sistemas antivirus diferentes en una empresa. ¿Se está trabajando para evitar conflictos entre diferentes antivirus? Nos consta que con, p.e., rusos AVP / KAV hay buena sociabilidad, pero hay problemas reportados entre el módulo del Centro de Control del NOD32 y módulos monitores y para el correo de otros antivirus, como el peruano PER, con el que entra en conflicto.
"Cuando hablamos de diferentes productos, el problema puede venir de una de las partes o de ambas. Conflictos con la protección residente, el system driver…trabajando a un nivel muy bajo en el sistema y con competencias muy importantes, este tipo de conflictos deben ser estudiados de manera particular en cada caso. Por nuestra parte, con la nueva modularización se intenta facilitar la integración con Third-Party products; en ciertos casos deberán ser otros productos los que intenten mejorar su sociabilidad, todos deben trabajar en ello, no sólo una de las partes."
Bien, pero siempre es bueno contar con una "segunda opinión"; es útil teniendo en cuenta que pueden aparecer falsos positivos y que a veces se maneja información valiosa. ¿Alguna sugerencia en estos casos, cuando alguno de los antivirus es "poco sociable"?
"Hay grandes compañías (M$, Boeing …) que emplean 4, incluso 7 productos diferentes para ello. En ocasiones se pueden emplear diferentes productos en servidor y cliente, o escanear a demanda con un producto de otra compañía desde el servidor, etc."
7.- Otras empresas están lanzando sistemas mixtos de antivirus y cortafuegos ¿ESET piensa seguir por ese camino? Los usuarios más avanzados suelen preferir un programa diferente especializado para cada función.
"Partimos de dos puntos:
ESET es un nº 1 como antivirus.
Hay clientes que necesitan antivirus, cortafuegos, VPN (Red Privada Virtual), ENC… En el caso de cortafuegos, ESET podría en el futuro contactar con alguna empresa líder en principio para más adelante pasar a ofrecer su propio producto. Es algo que tenemos en cuenta y que debería realizarse adecuadamente."
En ese caso, ¿hablamos de un soft diferenciado o bien de un módulo añadido al producto global? Lo comento pensando también en el rechazo que el usuario experimenta hacia programas de elevado consumo, con demasiada carga para el sistema.
"Bueno, es algo prematuro definirse, se tomará la decisión en su momento, pero en cualquier caso la modularización (si fuera el caso) no supondría una carga."
¿Puedo entender entonces que NOD32 seguirá destacando por su bajo consumo y rapidez?
"Sí, es algo que nos caracteriza y lo tenemos muy en cuenta."
-En este punto su sonrisa era bastante expresiva; la charla estaba próxima a terminar y se había aproximado Vicente Coll. Anton nos mostró con orgullo unas gráficas del Virus Bulletin-
"¿Véis esta gráfica? …me gusta mucho. Fijáos en la nota que incluyen: ¡se sale del baremo!"
-Era una gráfica donde se analizaba la rapidez de los diferentes antivirus que habían concurrido a la prueba (de Febrero del 2002, creo recordar) y, efectivamente, tuvieron que añadir una nota aclaratoria, la rapidez del NOD32 sobrepasaba con mucho el límite que habían considerado normal para el estudio. Yo también sonreí y es que… ¿a quién le amarga un dulce?-
Gracias por la atención, Anton.
Por Maty:
*No existe ningún tipo de vinculación económica, afectiva, o de cualquier otro tipo entre las empresas y NAUTOPIA. Vicente Coll nos facilitó en su día poder evaluar el antivirus, que una vez caducado, nos ha permitido seguir con él, a jorgeph, maty y wolffete. Allá por febrero del 2002 se puso en contacto con maty, al conocer que se estaba iniciando una comparativa de antivirus (que sigue en borrador, y encontramos más tarde a CONDE0 para el tema de cortafuegos), que finalmente no se terminó. Hasta semanas más tarde no empezamos a evaluarlo, ya que por entonces la vieja web de MATY's quedó parada, al estar centrado el editor en la denuncia de la "presunta estafa" de la tarjeta gráfica Ti600 por parte de EK COMPUTER, ayudando a la denuncia pública (sin ser un afectado), con la web DENUNCIAS de tiendas on line (cerrada en protesta por la ley mordaza LSSICE española). Lo bueno y lo malo fue posteado en los foros, en tiempo real, rectificando cuando fue preciso.
En el futuro intentaremos entrevistar a Eugene Kaspersky, el padre del AVP / KAV. No dudaremos en plantear las debilidades de sus productos (la ralentización del monitor del KAV 4.* que les provoca a algunos usuarios, que ha ido mejorando, pero todavía está lejos de la velocidad del eslovaco NOD32, el ruso Dr. WEB -requiere ser el único instalado- y el peruano PER).
Y a algunos de los creadores de virus y troyanos más importantes de la escena hispana e internacional (si la ley LSSICE no es obstáculo), centrándonos en los aspectos técnicos.
(*) Este artículo, original de NAUTOPIA
http://nautopia.web1000.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse a
mantonio1@navegalia.com
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|