Controlado desde el
19/10/97 por NedStat
|
Entrevista a Richard Marko, de ESET
|
|
VSantivirus No. 1228 Año 8, Lunes 17 de noviembre de 2003
Entrevista a Richard Marko, de ESET
http://www.vsantivirus.com/ev-entr-marko.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
El antivirus NOD32, de la empresa ESET, es uno de los más premiados y reconocidos de la actualidad. Una de sus principales fortalezas es su módulo heurístico, el cual fue mejorado notablemente para la nueva versión del antivirus. En ocasión del SIMO 2003, Richard Marko, Jefe de Programación Estratégica de ESET, y responsable directo de la heurística de NOD32, estuvo en el Stand de Ontinet.com, y tuvimos la oportunidad de entrevistarlo para que nuestros lectores sepan más acerca de lo que es la heurística y cómo se encuentra aplicada en este notable antivirus.
[EnciclopediaVirus.com]: ¿Por qué empezaste a trabajar para una compañía antivirus? ¿Son los virus lo que te parece más interesante dentro del mundo de la informática?
[Richard Marko]: La primera vez que escuché sobre virus de ordenadores yo era bastante joven, y fue algo que me hizo preguntarme qué eran los virus de ordenadores, cómo funcionaban y demás. Algunos años después, cuando estaba estudiando en la Universidad, escuché acerca de una empresa eslovaca, ESET, que estaba desarrollando su propia solución antivirus. Esto, de alguna manera, me atrajo, y decidí ver qué hacer, y comencé a estudiar sobre virus de ordenadores, realizando análisis de virus, aprendiendo todo aquello a lo que podía tener alcance, y así fue como todo comenzó.
[EV]: ¿Cuándo comenzaste a trabajar en ESET?
[RM]: Al final de 1994, comencé a trabajar allí medio tiempo, como pasante. Pero ya estaba siguiendo este tema de los virus de ordenadores desde un tiempo atrás, ya que había un gran distribuidor del antivirus Dr. Solomon en mi ciudad, y yo tenía muy buena relación con ellos.
[EV]: Parece ser que una de las mayores fortalezas de NOD32 es su módulo heurístico. ¿Podrías decirnos cuál es tu opinión acerca del por qué el módulo heurístico de NOD32 es uno de los más reconocidos? Además, si puedes, cuéntanos a grandes rasgos como funciona este módulo.
[RM]: En el principio, la detección heurística fue algo que realmente me atrajo, ya que es muy diferente de la programación normal. Es como un tipo de ciencia, quizás. Intentas crear un programa que sea capaz de estudiar, de realizar algún tipo de análisis. De alguna manera, es una forma de inteligencia artificial.
Al momento que comenzamos a programar el módulo heurístico de NOD32, no había demasiados de ese tipo, apenas unos pocos. Y los que había, no eran demasiado sofisticados. Debido a que no había demasiada información sobre el tema, tuve que inventar mi propio acercamiento a la revisión heurística.
Básicamente, traté de crear un algoritmo que siguiera el proceso normal de análisis de código de un experto antivirus. Sabía que básicamente había dos formas de hacer esto en el mundo real: una de ellas era usar un ordenador especial en el que ejecutar el archivo sospechosos y analizar los cambios que éste lleva a cabo en el ordenador y demás. La otra forma es tomar el programa sospechoso, desensamblarlo y estudiar el código por uno mismo.
Ambos procesos tienen sus ventajas porque, básicamente, ejecutar un código malicioso en un ordenador de pruebas es lo mejor dado que uno puede ver todo lo hace. Pero, quizás el virus no trabaja en ese ordenador en particular porque no contiene todos los requerimientos de software que necesita o el estado no es el correcto, por lo que no representa una garantía. No siempre es la mejor manera de averiguar algo sobre un virus.
La otra forma, estudiando el código del programa sospechoso, es algo que consume mucho más tiempo y es mucho más difícil de realizar, debido a que existen muchas trucos que los creadores de virus pueden utilizar para dificultar este análisis, como encriptando el código, añadiendo rutinas anti-debug, etc.
Básicamente, usando ambas formas de estudio, uno puede obtener los mejores resultados. Y, esto es lo que intenté programar en nuestro módulo heurístico. Por supuesto, no tienes un ordenador especial para ejecutar el programa, por lo que debes crear una máquina virtual dentro del ordenador donde se encuentra el código a analizar, para ver qué intenta modificar en este ambiente virtual cuando es ejecutado. Esto es llamado simulación del código. Además, necesitamos desensamblar el código, contar con una base de datos para reconocer partes del código y toda una serie de herramientas como las que usa un experto antivirus, para descubrir lo que el programa intenta hacer.
Con todo esto es con lo que cuenta nuestro módulo heurístico y lo que, de alguna manera, lo hace diferente al resto.
[EV]: O sea que, podríamos considerar al módulo heurístico de NOD32 como un experto antivirus virtual.
[RM]: Sí, podríamos considerarlo así
[EV]: ¿Tienes estadísticas aproximadas sobre las tasas de detección de la heurística de NOD32?
[RM]: Recientemente realicé ciertas pruebas relacionadas. Básicamente, lleve a cabo dos tipos de pruebas. Uno de ellos fue evaluar el funcionamiento del módulo heurístico contra los virus que son reportados como activos (in the Wild), porque hay muchos de ellos que sólo son capaces de copiarse a un disquete, algo que básicamente no sirve para mucho y es tan sólo diversión para quien creó el virus.
Por eso, hice una prueba contra virus reales, realmente en actividad. Los resultados fueron muy buenos, ya que la heurística detectó un 90 % de ellos por si misma, sin contar con la base de firmas del antivirus.
Por supuesto, este número es muy alto, pero también se debe a la forma en que nuestro módulo heurístico funciona. Ya que aprendemos de los virus que ya conocemos, y utilizando esta información para crear algoritmos que sean capaces de detectar los comportamientos de estos y los nuevos virus que van siendo detectados.
Creo que el número es un poco mayor de lo que podemos esperar en la realidad, pero también realicé otra prueba.
Tomé una lista de virus antiguos en actividad, y una versión antigua de nuestro módulo heurístico, y realicé una nueva prueba. Básicamente, cada mes, The WildList Organization publica una lista de los virus activos. Tomé dos de esas listas, con dos meses de diferencia para evaluarlas contra una versión de dos meses atrás de nuestro módulo heurístico.
El módulo detectó el 80 % de los virus en ambas listas. Para ser honesto, quedé muy sorprendido, dado que es un número muy alto, más de lo que esperaba.
[EV]: Podríamos entonces decir que el módulo heurístico de NOD32 es capaz de detectar entre un 75 % y 90 % de los virus activos?
[RM]: Bueno... Si, parece ser así. No podemos decir que pasará en el futuro, pero en este momento, las tasas de detección que estamos teniendo en estas pruebas contra virus activos son esas.
[EV]: Es una tasa sorprendente. La última pregunta: ¿Cuáles son las mejores incluidas en este nuevo módulo heurístico de NOD32 respecto de la versión anterior?
[RM]: Actualmente, los virus más difundidos son los gusanos de Win32. Entonces, necesitábamos realizar algunos cambios en nuestro módulo, porque existe una gran diferencia entre los gusanos y los virus estándares, ya que los primeros no son parásitos, por lo que, por ejemplo, no podemos utilizar un análisis estructural para detectarlos. Debido a esto, se mejoró el módulo heurístico para adaptarlo a este nuevo tipo de gusanos.
Otra de las mejoras, fue dividir este nuevo módulo heurístico, capaz de detectar gusanos de Win32, para que sólo funcionara en forma más especifica, revisando los archivos adjuntos a correos electrónicos o los archivos que son descargados de internet, ya que es una rutina que requiere más tiempo que el módulo heurístico normal.
Los archivos que llegan de esta manera al ordenador son mucho menos que los que se tienen almacenados en el disco duro, por lo que revisarlos con un módulo que requiere más recursos del sistema no afecta el rendimiento general del equipo, cómo si lo haría si todo el disco duro fuera analizado con él.
Básicamente, esta es la principal mejora entre la versión anterior de nuestra heurística y la que se ha incluido junto a NOD32 v2.0.
(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/enciclopedia/articulo.php?id=343
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|