|
VSantivirus No. 1139 Año 7, Miércoles 20 de agosto de 2003
Seguridad Informática: Peligros Ocultos
http://www.vsantivirus.com/zma-peligros.htm
Por Juan C. Zampatti Maida (*)
zampatti@zma.com.ar
[Publicado en VSAntivirus con autorización del autor]
El virus Lovsan (Blaster) ha ocupado mucha prensa durante los últimos días informando una gran cantidad de equipos infectados, lo cual nos ha llevado a profundizar el tema y escribir este resumen. Fundamentalmente va dirigido a usuarios de una PC, pero contiene algunos conceptos que son aplicables a las redes.
Para que se produjera la infección este virus se tenía que encontrar una PC que reuniera todas estas condiciones:
a. Tuviera su Windows (NT, 2K, XP, 2003) sin aplicar el parche correctivo a la falla en el RPC.
b. Que además no estuviera protegido por un antivirus.
c. Y que a todo ello se agregue que no existiera un cortafuegos que bloqueara los puertos por los que transmitía.
Y dado que pese a todos estos "obstáculos", el virus ha logrado infectar la cantidad de PCs que la prensa ha informado, los analistas concluyen que todavía la Seguridad Informática, sigue siendo una materia postergada.
Coincidimos con la anterior, pero no en forma absoluta. Es que el usuario de PCs, tanto a nivel personal, profesional o empresario, se ve también amenazado por otros peligros ocultos, con lo cual está utilizando sus equipos bajo una falsa cobertura de seguridad. En términos más populares, el usuario hizo los "deberes" que los especialistas le indicaron, pero sigue desprotegido, y lo peor es que no lo sabe.
El virus Lovsan ha desnudado fallas ocultas en:
º Microsoft Windows Update
º Fallas en los Antivirus
º Fallas en los Cortafuegos
Fallas en el Microsoft Windows Update
Esta herramienta de Microsoft tiene amplia utilización para mantener los Windows actualizados. Usuarios que la utilizaron para testear que su Windows tuviera aplicado el parche que cubre la falla en el RPC (MS03-026) recibían una respuesta que no había parches que aplicar, cuando la realidad era lo contrario; el parche no estaba aplicado. Si se utilizaban otras herramientas de Microsoft, tales como Hfnetchk or MBSA, mostraba correctamente el nivel del parche. Esto se origina en que el MS Windows Update Service toma la información del Registro de Windows, mientras que el Hfnetchk or MBSA utiliza un MD5 cheksum.
Esta falla nos la informó un especialista italiano amigo, Paolo Monti; y luego apareció en el NTBugtraq un servicio de reporte de fallas y fue recogido por varias revistas especializadas. Las últimas noticias parecen indicar que el jueves 14 por la tarde, Microsoft agregó el control de archivos al Windows Update, por lo menos en lo que se refiere al parche MS03-026. Considerando que se esperan más ataques que se aprovechen de la vulnerabilidad Windows RPC, es conveniente hacer un nuevo control que la remozada versión del Windows Update, a la que deberá acceder desde la página de Microsoft, pues la pagina www.windowsupdate.com, ha sido deshabilitada preventivamente por el propio Microsoft.
[Nota VSA: La solución para descargar parches de Microsoft
http://www.vsantivirus.com/sol-winupdates.htm]
Fallas en los antivirus
Hay fallas en la instalación, hay fallas en la configuración, hay fallas en las actualizaciones y hay fallas en la detección de virus.
Las fallas en la instalación provienen en que cuando se instala una nueva versión de antivirus, la desinstalación del anterior ha dejado "sucio" el registro de Windows. Personalmente utilizo, y con muy buen resultado, jv16 Power Tools
(www.jv16.org) (trial 30 días) para limpiar el registro luego de desinstalar cualquier software.
[Nota VSA: Ante diversas consultas, diremos que en VSAntivirus no recomendamos este tipo de herramienta, ya que
pueden causar grandes daños en el sistema. Sin embargo, como alternativa, y aclarando que su uso por parte de
usuarios inexpertos puede ser muy peligroso, nuestra opción sería "RegSeeker", gratuita para uso personal, y configurable al
español, que puede ser descargada desde el siguiente enlace: http://www.hoverdesk.net/freeware.htm]
En cuánto a la configuración, no siempre la por "default" es la más adecuada. Hay que leer el manual, consultar el soporte, etc., y ser cuidadoso en el tema.
En cuánto a las actualizaciones hay que asegurarse que el producto actualice motor y base de datos de virus. Algunos prometen actualizaciones gratis de por vida, pero solo abarca la base de datos de virus; y es necesario adquirir una nueva versión para estar realmente protegido.
Los antivirus ya no se actualizan una vez a la semana ni una vez al día.
Ahora deben programarse para que cada hora revisen si hay actualizaciones.
Durante los períodos de actividad virósica, como la del Lovsan, los fabricantes de virus liberan varias actualizaciones el mismo día.
Para que todo esto funcione adecuadamente, las actualizaciones tienen que ser automáticas, casi imperceptibles para el usuario y generar poco tráfico.
Pero lo más grave en los antivirus, son las fallas en la detección de virus.
Ningún antivirus es infalible, pero hay buenos, regulares y malos en cuanto a nivel de detección se refiere.
Usualmente utilizo los informes de Virus Bulletin, que son muy objetivos y detallados, y desnudan públicamente las fallas de los antivirus, sin darles una segunda oportunidad para solucionarlos, como ocurre con otras entidades certificantes que aceptan correcciones y retesteos.
Si tomamos por ejemplo los últimos 4 informes de V. Bulletin, nos encontraremos que Norton falló en 54 oportunidades, McAfee en 59, Sophos en 777 y Trend PC Cillin tuvo 1045 fallas. Tan exigentes son las revisiones de Virus Bulletin que algunas empresas no hacen auditar sus productos, para que sus fallas no aparezcan en forma pública.
El que los antivirus presenten fallas, es muy grave, pues Virus Bulletin utiliza virus conocidos (Virus In the Wild). Nadie puede decir que le tomaron un examen de algo desconocido. Es inaceptable que fallen.
Usar un antivirus con fallas es someter su PC o red a una ruleta rusa; hay muchas más posibilidades de que no pase nada, pero cuando le toca, está herido de muerte.
La pregunta que muchas veces hemos recibido es: ¿Hay antivirus sin fallas en las auditorias?. La pregunta tiene su fundamento, pues si los que son dueños del mercado presentan fallas, entonces qué hacer?. La respuesta es: Si, hay antivirus más confiables que los mencionados, y es posible conocerlos visitando la Web de Virus Bulletin
(www.virusbtn.com); pero aquí también lo aguarda otro peligro al visitante no experto.
Una rápida mirada al sitio de V. Bulletin puede llevar a deducir que un producto que haya obtenido la distinción del 100% es un producto confiable. No es totalmente cierto. Los productos son sometidos, por V. Bulletin, a una batería de 5 tests, y para obtener la distinción del 100% V.B. es suficiente con aprobar los dos referentes a "Virus In the Wild" y no arrojar ningún falso resultado (informar como virus un archivo que no lo es).
Esto puede producir resultados como el que se dio en Noviembre 2000, donde se le concedió a Norton el 100% VB pues aunque tuvo 297 fallas de detección, ninguna de ellas se produjo en los dos tests que se consideran; mientras que NOD32, no tuvo ninguna falla de detección en los 5 tests, pero informó un falso positivo, y por ello perdió el 100%.
¿Qué hacer entonces?. Dentro de la Web de Virus Bulletin (www.virusbtn.com) hay que entrar por Magazine; Archive issues; Back issues as PDF; y buscar en las ediciones, las tablas de detalle de las Comparative Review, proceder a imprimirlas y realizar un análisis fuera de línea.
Fallas en los cortafuegos
Asumo que todos los usuarios de PC conocen lo que es un cortafuegos (firewall) y lo están utilizando. Si aún no tiene instalado uno hágalo a la brevedad, y salvo casos especiales, con las versiones gratuitas es suficiente. A los ya conocidos ZoneAlarm y Kerio, se ha agregado Outpost, un producto que origen ruso que va camino a posicionarse como el Nº 1. En
www.protegerse.com encontrará una versión gratuita de Outpost en español.
Quienes tienen Windows XP, éste ya incluye un firewall, pero los especialistas aconsejan desactivarlo e instalar alguno de los antes mencionados. Es por la poca confianza que Microsoft genera en lo referente a seguridad.
Para redes, desde pequeñas hasta aquellas compuestas por cientos de PCs, he quedado sorprendido con una versión de Kerio que incluye un proxy para compartir Internet y un cortafuegos, pudiendo agregar un antivirus (varias opciones) y un filtro de contenido de la empresa alemana Cobion. Pero todo esto no es gratuito. Por la especialidad de la firma que integro, Kerio nos obsequió con una licencia, la hemos probado con gran resultado, por lo que resolvimos utilizarla, reemplazando a Sygate, que nos estaba causando algunos problemas.
Si busca algo gratuito para redes, debería ir mirando Linux, en sus diferentes versiones. Linux brinda un muy buena solución de firewall, router y agregando por ej. Mail Scanner, un poderoso filtrado de spam y antivirus; inclusive se pueden usar mas de un antivirus al mismo tiempo. Mail Scanner es gratuito.
Pero si todo lo que es software es algo "vivo", en continuo movimiento, un firewall lo es más aún. Dado que no es posible cerrar todos los puertos, hay que tener algún Know-How para hacerlo.
[Nota VSA: "Know-How", expresión anglosajona que se emplea para definir una técnica de conocimiento o
experiencia].
Pero... ¿cómo estar seguro de la labor realizada?. Simplemente ejecutando algunos de los tests on line (gratuitos) que hay disponibles. Yo utilizo el de Steve Gibson,
https://grc.com/x/ne.dll?bh0bkyd2, y si bien está en inglés, la guía de colores en rojo, amarillo y verde, es fácilmente entendible.
(*) Juan C. Zampatti Maida es el responsable de la consultora Zampatti Maida & Asoc. [www.zma.com.ar] y VirusCenter [www.viruscenter.com.ar].
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|