¿Incluir o no incluir? Ésa es la cuestión (I. Sbampato)

¿Incluir o no incluir? Ésa es la cuestión (I. Sbampato)
	VSantivirus No. 1007, Año 7, Jueves 10 de abril de 2003 ¿Incluir o no incluir? Ésa es la cuestión (I. Sbampato) http://www.vsantivirus.com/sbam-incluir.htm Por Ignacio Sbampato ()* Lo que los antivirus incluyen o no en sus mecanismos de detección siempre ha sido fruto de debate, sobre todo desde el momento en que dejaron de preocuparse en exclusiva por los virus informáticos. Un antivirus es, como su nombre indica, una herramienta contra los virus informáticos. Su función principal es la detección y eliminación de ese tipo de software malicioso, aunque con el correr del tiempo y la evolución del malware, también se agregaron a sus listas los gusanos, troyanos, macrovirus y backdoors. Con el tiempo, algunos antivirus comenzaron a incluir detección para otros tipos de software potencialmente malicioso, como los keyloggers, o al menos molesto, como los jokes o bromas. Este tipo de práctica, dado que los primeros muchas veces son aplicaciones comerciales y los segundos no hacen ningún daño, inició cierto debate en la comunidad antivirus internacional. Por su lado, los keyloggers son programas que guardan en un archivo todo lo que se teclea en la computadora donde estén instalados; muchos de ellos poseen métodos para enviar luego dichos archivos por correo electrónico o subirlo a un servidor FTP para que otros puedan analizar lo que el usuario vigilado escribió en su teclado. Los jokes, o programas de broma, son pequeñas aplicaciones inofensivas que simulan ser un virus; normalmente no son más que animaciones, pero algunas veces realizan acciones como abrir la unidad de CD-Rom del equipo donde se ejecutan. Muchos antivirus comenzaron a incorporar en sus bases de detección este tipo de aplicaciones, mientras que otros no. Los primeros aducen que es importante ofrecer una protección completa contra todo software malicioso existente, mientras que la contraparte no cree que un antivirus deba detectar ese tipo de software. Y parte de los que no creen que deban agregarse, aseguran que aquellos antivirus que sí lo hacen, sólo buscan engrosar sus bases de virus para decir que detectan más que ningún otro, de la misma manera que incorporan a sus detecciones virus que nunca se han visto en acción. Por ejemplo, la última actualización para Norton Antivirus, disponible a través de LiveUpdate, detecta, en teoría, 63.389 virus. ¿Cuántos de éstos han estado alguna vez "en la calle"? ¿Cuántos son keyloggers? ¿Cuántos son aplicaciones comerciales? ¿Cuántos son programas de broma? Otros antivirus dicen detectar 30.000, virus pero eso no quiere decir que ofrezcan mayor o menor protección contra las amenazas víricas actuales. Un claro ejemplo de esto son las pruebas realizadas por Virus Bulletin, donde se analizan los productos antivirus para saber, entre otras cosas, si son capaces de detectar todos los virus listados en la WildList. Allí puede verse como antivirus que dicen detectar más virus que otros no reconocen el 100 % de los virus actuales, mientras que algunos que no hacen tanta alharaca de la cantidad de código malicioso que detectan, sí los reconocen. Jokes o programas de broma Desde que el correo electrónico se extendió como medio de comunicación, los jokes comenzaron a llegar a las casillas de usuarios de todo el mundo. Normalmente enviados por algún amigo para jugarnos una broma, algunas personas comenzaron a considerarlos molestos, y esto dio pie a que varias casas antivirus consideraran que aquellos jokes relacionados con virus debían ser incluidos en sus bases de firmas. Dada la proliferación de estas bromas, incluso algunas comparativas de antivirus incluyeron este tipo de programas en sus muestras y, obviamente, aquellos productos que no detectaban Jokes por considerar que no hacen nada inofensivo, salían peor parados en sus ratios de detección frente a los que sí lo hacían. Además de este inconveniente, muchas veces la detección de programas de broma trae confusión a los usuarios. Es normal que los soportes técnicos de las compañías antivirus reciban desesperados llamados de personas que ven que su antivirus detecta algo en su sistema, sin saber que al ser un Joke, es algo inofensivo. Ante estos temas, muchas casas antivirus optaron de todas formas por incluir Jokes en sus bases para no tener problemas en las comparativas, lo cual tan sólo ayuda a acrecentar la confusión y transformar el antivirus en algo que no es: un detector de bromas. Keyloggers, herramientas de control remoto y aplicaciones comerciales Este es otro punto a discutir, más complejo que el anterior. Además del "problema" relacionado con las comparativas de antivirus, el debate se centra en que existen Keyloggers comerciales, que son vendidos por sus respectivos creadores (muchos de ellos empresas) como un software legal. Algo similar ocurre con las aplicaciones de control remoto. Desde el punto de vista del usuario, cualquier keylogger es potencialmente tan peligroso como útil, dado que puede ser tanto utilizado "para el bien como para el mal", al igual que las herramientas que permiten acceder y controlar en forma remota una computadora. Las utilidades de un Keylogger son básicamente dos: 1. Como una forma de controlar lo que los empleados de una empresa realizan en el ordenador de la compañía, dejando de lado cualquier invasión a la privacidad que esto pueda acarrear. 2. Servir como herramienta de resguardo de lo que uno escribe en su ordenador. Por su lado, lo útil que una aplicación de control remoto pueda ser no lleva discusión: tanto para una persona que está de viaje y quiere acceder a su computadora hogareña, como para en el ambiente laboral controlar los servidores de empresa, y varios motivos más. Pero, a su vez, estas herramientas pueden ser utilizadas con otros fines: 1. Los Keyloggers son muchas veces instalados por troyanos para almacenar todo lo que el usuario escribe y así obtener información confidencial o contraseñas. 2. Los Backdoors son, básicamente, aplicaciones de acceso remoto y permiten que un atacante tome control de un ordenador y realice cualquier tipo de acción en él. Entonces, ¿cómo diferenciar un keylogger potencialmente peligroso de uno útil? ¿Cómo determinar si un antivirus debe, o no, detectar una aplicación de control remoto? Algunos utilizan un criterio simplista: si la herramienta es comercial, entonces es legal y no debe ser detectada por un antivirus, pero esto entraña una cuestión también sencilla: que un producto se venda no quiere decir que no sea dañino. De esta manera, queda otra forma de determinar la detección o no de un Keylogger o RAT (Remote Access Tool), la cual no es otra que analizando sus funcionalidades. Si la herramienta no permite realizar, por ejemplo, instalaciones remotas de forma que el usuario no tenga conocimiento de ellas, no debe ser considerada como un troyano y, por consecuencia, tampoco debe ser incluida por los antivirus en sus bases de detección. Un caso claro de esto son los troyanos como Back Oriffice o NetBus, ambos promocionados como herramientas "legales" pero que, al brindar la posibilidad de instalarse en forma oculta, son considerados por todos como troyanos. En el otro lado, herramientas como VNC o PcAnywhere no son detectadas por los antivirus (aunque sí por algunos programas anti-monitoreo), al no tener dicha funcionalidad. El problema es que algunos antivirus no tienen en cuenta este criterio y agregan cuanto creen conveniente a sus mecanismos de detección, de manera que los otros productos también deben incluirlo si no quieren ser considerados menos eficientes o de menor calidad. Un círculo vicioso, por llamarlo de algún modo. La cuestión El tema es amplio y este artículo no hace más que plantear el debate, pero las conclusiones que saltan a la vista son las siguientes: - Los antivirus no deberían detectar Jokes, ni ningún código que no cause problema alguno al usuario (léase archivos corruptos, virus que no funcionan, etc). En todo caso, si lo hacen, sería necesario que esto fuera configurado aparte, para no causar confusión y que su funcionamiento por defecto sólo detecte lo que debe: virus, gusanos, troyanos, software malicioso, etc. - El software comercial (sean Keyloggers o aplicaciones de control remoto) sólo debería ser detectado por un antivirus en el caso que el mismo incluyera funcionalidades que puedan transformarlo en un troyano, como la posibilidad de una instalación en forma remota y sin conocimiento del usuario, por ejemplo. Que sea comercial no lo hace menos dañino. - Aquel que, de todas formas, desee utilizar un software que los antivirus detecten como algo malicioso, debe conformarse con tener que configurar su antivirus para que excluya de su detección el directorio donde el producto esté instalado. - Los antivirus, al menos la gran mayoría, tendrían que, al menos por un momento, dejar de lado el marketing de su producto (utopía) y darle más prioridad a quien lo utiliza: el usuario. Aunque de esta manera las problemáticas antes mencionadas se resolverían, hay que poner los pies sobre la tierra y darse cuenta de que las herramientas antivirus, como cualquier otro producto comercial, son desarrolladas para ser vendidas, y a tal fin apuntan las estrategias que muchas veces discutimos. Así que, seguramente, seguiremos viendo como las listas de virus de algunos de ellos se engrosarán con "basura no-vírica", otros detectarán cuanto programa semi-malicioso se les ponga en frente, etc., porque ¿incluir o no incluir?. Ésa es la cuestión... Ignacio Sbampato Virus Attack! http://www.virusattack.com.ar/ (*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com