Upload File

debilidades en los antivirus

5
Debilidades en los antivirus por Ignacio M. Sbampato(*) - 25 de Febrero del 2001 Lo que sucedió recientemente con el virus VBS/SST , más conocido como AnnaKournikova, confirmó algunas cosas que los expertos en seguridad informática vienen predicando tiempo atrás: Los usuarios todavía no hacen caso a las recomendaciones sobre no abrir archivos adjuntos no solicitados. Cualquier persona, con conocimientos de programación o no, puede llegar a crear un virus o gusano capaz de sacudir tanto a grandes empresas como a usuarios hogareños alrededor de todo el mundo. No todos los antivirus utilizan motores heurísticos confiables, aunque digan lo contrario, y muchos de ellos no son capaces de detectar virus fabricados con el mismo generador automático cuyas creaciones tienen, obviamente, ciertos patrones comunes. Dado que el objeto de este artículo es denotar las debilidades en los antivirus actuales, sólo nos referiremos a este último punto. Quienes nos dedicamos a la investigación antivirus hemos podido comprobar que algunas herramientas fueron capaces de detectar el virus Kournikova sin necesidad de ser actualizados. Esto se debe a que los laboratorios que desarrollan las actualizaciones para dichos antivirus ya habían agregado una firma o algoritmo capaz de descubrir este virus antes de su creación. ¿Cómo es esto posible? puede ser la pregunta que en estos momentos cruce por su mente, y cuya respuesta es uno de los puntos centrales de este artículo. Dado que este virus, como otros que han sido descubiertos "in-the-wild" (p.e. Worm.Lee alias Vanina, y otras variantes de éste), fueron creados por el VBS Worm Generator , una herramienta capaz de generar gusanos de VBScript siguiendo una serie de simples pasos y haciendo click unas pocas veces con el mouse, estos antivirus desarrollaron algoritmos para detectar todos (o la mayoría) de los virus que pudieran ser creados con esta herramienta. De esta manera, si un nuevo virus es fabricado con el VBSWG (las siglas de VBS Worm Generator), estos antivirus, utilizando sus motores heurísticos de detección, son capaces de detectarlo, sin necesidad de actualizar sus definiciones, dado que los mismos contienen ciertos patrones básicos, iguales en todas las creaciones de esta herramienta, que hacen que los antivirus con esta capacidad puedan descubrirlos. Para quienes hasta el momento no entendieron lo que es un motor heurístico, podría decirse que son una serie de algoritmos o rutinas que permiten a los antivirus detectar nuevos virus basados en ciertos patrones sin la necesidad de que el virus en cuestión se encuentre registrado en su base de firmas. Casi todas las grandes compañías dicen que sus productos poseen esta características, pero pudo comprobarse con este último incidente, que esto no es verdad. Bernardo Quintero, parte del staff de HispaSec, una empresa de seguridad española que brinda un muy completo boletín diario de información a sus suscriptores, desarrolló un artículo tras la aparición del virus Kournikova, en el que tocaba brevemente este tema, e informaba a sus lectores de cuales eran los antivirus que podían detectar este virus sin necesidad de actualizarse y cuales no, lo cual detallamos a continuación:

Upload: biocleaner

Post on 25-Nov-2015

52 views

Category:

Documents


0 download

Report

TRANSCRIPT

Debilidades en los antivirus

Debilidades en los antiviruspor Ignacio M. Sbampato(*) - 25 de Febrero del 2001

Lo que sucedi recientemente con el virus VBS/SST, ms conocido como AnnaKournikova, confirm algunas cosas que los expertos en seguridad informtica vienen predicando tiempo atrs:

Los usuarios todava no hacen caso a las recomendaciones sobre no abrir archivos adjuntos no solicitados.

Cualquier persona, con conocimientos de programacin o no, puede llegar a crear un virus o gusano capaz de sacudir tanto a grandes empresas como a usuarios hogareos alrededor de todo el mundo.

No todos los antivirus utilizan motores heursticos confiables, aunque digan lo contrario, y muchos de ellos no son capaces de detectar virus fabricados con el mismo generador automtico cuyas creaciones tienen, obviamente, ciertos patrones comunes.

Dado que el objeto de este artculo es denotar las debilidades en los antivirus actuales, slo nos referiremos a este ltimo punto.

Quienes nos dedicamos a la investigacin antivirus hemos podido comprobar que algunas herramientas fueron capaces de detectar el virus Kournikova sin necesidad de ser actualizados.

Esto se debe a que los laboratorios que desarrollan las actualizaciones para dichos antivirus ya haban agregado una firma o algoritmo capaz de descubrir este virus antes de su creacin.

Cmo es esto posible? puede ser la pregunta que en estos momentos cruce por su mente, y cuya respuesta es uno de los puntos centrales de este artculo.

Dado que este virus, como otros que han sido descubiertos "in-the-wild" (p.e. Worm.Lee alias Vanina, y otras variantes de ste), fueron creados por el VBS Worm Generator, una herramienta capaz de generar gusanos de VBScript siguiendo una serie de simples pasos y haciendo click unas pocas veces con el mouse, estos antivirus desarrollaron algoritmos para detectar todos (o la mayora) de los virus que pudieran ser creados con esta herramienta. De esta manera, si un nuevo virus es fabricado con el VBSWG (las siglas de VBS Worm Generator), estos antivirus, utilizando sus motores heursticos de deteccin, son capaces de detectarlo, sin necesidad de actualizar sus definiciones, dado que los mismos contienen ciertos patrones bsicos, iguales en todas las creaciones de esta herramienta, que hacen que los antivirus con esta capacidad puedan descubrirlos.

Para quienes hasta el momento no entendieron lo que es un motor heurstico, podra decirse que son una serie de algoritmos o rutinas que permiten a los antivirus detectar nuevos virus basados en ciertos patrones sin la necesidad de que el virus en cuestin se encuentre registrado en su base de firmas.

Casi todas las grandes compaas dicen que sus productos poseen esta caractersticas, pero pudo comprobarse con este ltimo incidente, que esto no es verdad.

Bernardo Quintero, parte del staff de HispaSec, una empresa de seguridad espaola que brinda un muy completo boletn diario de informacin a sus suscriptores, desarroll un artculo tras la aparicin del virus Kournikova, en el que tocaba brevemente este tema, e informaba a sus lectores de cuales eran los antivirus que podan detectar este virus sin necesidad de actualizarse y cuales no, lo cual detallamos a continuacin:

Antivirus que lo detectaron sin realizar una actualizacin: AVP/Kaspersky, F-Secure, McAfee, y PcCillin.

Antivirus que no detectaron el virus hasta haber sido actualizados: Norman, Norton, Panda y Sophos.

En esta lista no se encuentran todos los antivirus disponibles actualmente en el mercado, pero s son los ms conocidos.

A los resultados expresados por Bernardo Quintero en su boletn, podemos agregar, segn nuestra propia experiencia, que el antivirus NOD32 fue capaz de detectar el virus sin necesidad de actualizarlo, y lo propio hizo el F-Prot. Como el CSAV (Command Software Antivirus) se basa en ste ltimo, podemos inferir que el mismo tambin es capaz de detectarlo sin necesidad de ser actualizado, pero no hemos podido comprobarlo.

Es extrao ver que el Norman Antivirus, cuyo fabricante compr hace tiempo el TBAV, uno de los antivirus ms conocidos hace tiempo, y que posea un motor heurstico imbatible, haya sido incapaz de detectar el virus. Parece ser que Norman, en lugar de agregar la mejor funcionalidad del TBAV a su producto, la ha dejado de lado.

Pero, retomando el objetivo principal de este artculo, este incidente nos demuestra que no todos los antivirus realizan las acciones que promocionan, brindando una falsa proteccin a sus usuarios, y que el actual mtodo que utilizan los mismos para la deteccin de virus es obsoleto, y por lo tanto, dbil.

Con lo rpido que actualmente se distribuyen los virus informticos, que un antivirus no detecte los mismos hasta no recibir un ejemplo de ellos, el mismo sea analizado, y una actualizacin sea desarrollada, un proceso que toma varias horas, demuestra lo dbil del concepto que muchos de estos productos utilizan para la deteccin de virus. En el transcurso entre que el virus comienza a infectar y todos los antivirus son detectados, muchos usuarios pueden haber sido infectados, y haber sufrido los efectos del virus, que en este caso en particular, el del Kournikova, son nulos, pero podran haber sido peores, sin que el producto que utilizan para defenderse de ellos se haya dado cuenta de ello.

Y esto no es un problema inherente slo a los antivirus que en esta ocasin no detectaron el virus, dado que en otros incidentes, ningn antivirus fue capaz de detectarlo antes de ser actualizado, como pas con el conocido ILOVEYOU. Este mtodo de deteccin, dependiente de la actualizacin de sus definiciones, es uno de los principales puntos dbiles de las tecnologas antivirus actuales y deberan ser evaluadas otras posibilidades de proteccin antivirus, como programas de deteccin proactivos (SurfinGuard, SafeTNet), otras de las tantas ideas que los expertos independientes piden da a da.

Compresin de archivos

Otro de los puntos dbiles de los antivirus es cuando se enfrentan a los compresores de archivos. Existen herramientas como el NeoLite, PE-Crypt, y ASPack, entre muchos otros, que permiten comprimir un archivo ejecutable (.exe, .com, etc.) para reducir su tamao y, adems, encriptar el mismo, para que su cdigo, a simple vista, sea completamente distinto al original. Para explicar los problemas que tienen los antivirus frente a estas herramientas, vamos a comentar un caso concreto.

Desde Septiembre de 1999 hasta mediados del ao pasado, el virus Worm.PrettyPark era una fija en los reportes de nuestros usuarios. El mismo se trataba de un gusano que llegaba por correo electrnico como un archivo prettypark.exe que si era ejecutado, se instalaba en el sistema y se reenviaba a toda la Libreta de Direcciones local. Como siempre, los antivirus lo agregaron a su base de firmas, y a partir de all lo detectaron.

Pero, a mediados de Febrero del 2000, una nueva versin de este virus comenz a distribuirse, cuya nica diferencia con la anterior, era que estaba encriptada con una de estas herramientas de compresin, lo que logr burlar a los antivirus, que detectaban el virus, pero no podan detectarlo encriptado. Los mismos tuvieron que agregar una nueva firma o algoritmo a sus bases, y recin a partir de all comenzaron a detectarlo.

Ningn antivirus de los que probamos en ese momento fue capaz de detectar la versin encriptada del PrettyPark sin ser actualizado, lo mismo pas con el virus W32/ExploreZip, y con otros que fueron creados y luego redistribuidos comprimidos con alguna de estas herramientas.

Para aquellos que no entendieron a que me refera con compresin de archivos, un ejemplo comn de una herramienta de estas es el WinZip.

Es claro que esto es otro importante punto dbil de los antivirus porque ni siquiera es necesario cambiar una sola lnea de cdigo para burlarlos, basta con comprimir el virus con alguna otra herramienta de compresin, y el mismo pasar desapercibido hasta que los antivirus sean actualizados nuevamente.

El antivirus AVP/Kaspersky soporta ahora distintas herramientas de compresin a fin de que esto no suceda, cuya funcin hemos podido probar con xito, pero no todos los antivirus han incorporado este tipo de funcionalidad, por lo que el problema sigue en pie, hasta que los desarrolladores de antivirus cambien sus productos para soportar este tipo de algoritmos de compresin de archivos.

Aunque existen otros puntos dbiles en los programas antivirus, como problemas de compatibilidad con otros softwares, falsos positivos, falsos negativos, etc., estos son los que nos parecen los ms importantes. A continuacin, trataremos dos puntos en particular ms relacionados con las debilidades en los antivirus corporativos.

Filtrado de mensajes

Existen actualmente numerosos antivirus y herramientas que permiten el filtrado de mensajes de correo electrnico, segn su contenido, a nivel servidor. Si un mensaje es enviado a una cuenta alojada en un servidor que posee este tipo de programa, el mismo es analizado y, si responde a ciertas reglas, no se lo deja seguir.

Este tipo de herramientas poseen una cantidad de reglas por defecto en la mayora de los casos, respondiendo a los ms conocidos virus, y permiten a los administradores agregar nuevas reglas de filtrado, funcionalidad muy interesante y til a nivel seguridad. El problema existe en que no siempre filtran slo mensajes que contienen virus.

Por ejemplo, es normal que en nuestros artculos describamos o nombremos virus tales como Hybris, ILOVEYOU, LoveLetter, y dems, que nunca llegarn a nuestros lectores, porque dichas palabras son filtradas por estos antivirus a nivel servidor. Sucede que, en lugar de utilizar reglas avanzadas, se basan en simples controles de contenido, en los que, si alguna palabra o grupo de palabras se encuentran en un mensaje que es analizado, el mismo no ser reenviado al usuario jams, aunque sea un simple mensaje en texto plano, que jams podr causar ningn dao.

Lo bueno sera que este tipo de herramientas controlarn los mensajes a un nivel ms avanzado, chequeando que no slo contengan un grupo de palabras para ser filtrados, sino que tambin contengan un archivo adjunto o vengan en formato HTML.

Recientemente, Bruce Schneier, editor del boletn Crypto-Gram, escribi un pequeo artculo "E-mail Filter Idiocy" en el que comentaba un problema que haba tenido con ciertos servidores al enviar una entrega de su boletn que contena la palabra ILOVEYOU. El boletn de Schneier se envia en texto plano por lo que jams podr contener un virus, dado que ni siquiera se envian archivos adjuntos con este boletn [Nota de Video Soft: lo mismo ocurre con nuestro boletn VSAntivirus].

Lo mismo nos viene sucediendo desde que trabajamos en la seccin Mundo Virus del boletn espaol Kriptopolis, dado que fueron filtrados ediciones de ste en el que se hacia referencia a los virus ILOVEYOU o Hybris.

Este es otro claro punto dbil en la proteccin antivirus, incluyendo que, si el usuario est suscripto a un boletn de seguridad o si un conocido desea enviarle un alerta sobre un virus que ste circulando, los cuales contengan SOLO texto que sea filtrado por las reglas de su servidor, nunca lo recibir, siendo ste adems de un problema para los antivirus, un problema para el usuario que confa en recibir informacin actualizada sobre temas de ste tipo.

Y algunas reflexiones al respecto:

Los servidores que filtran los mensajes por la palabra Hybris, nunca lograrn detener este virus de esta forma. Por qu? Porque la palabra Hybris slo se encuentra dentro del cdigo del programa en el que viaja el virus, y ni el asunto del mensaje, ni el contenido del mensaje, ni el nombre del archivo la contienen, y estas herramientas slo pueden filtrar por texto en dichos componentes del mensaje. Una defensa contra nada y sin sentido, no?

Si el virus cambia el nombre del archivo en el que se enva, o cambia su asunto o contenido, estas protecciones son, si me permiten decirlo, completamente intiles.

Muchos se preocupan de aplicar estos filtros, muchas veces sin sentido como en el caso antes mencionado, pero an no eliminan a nivel servidor los mensajes que reciben con archivos de doble extensin, del tipo .JPG.VBS, .GIF.VBS, MP3.VBS, o similar, que son virus en el 99.9999999999999% de los casos. Esto es una clara falta de este tipo de herramientas y sus administradores.

Por ltimo nos referiremos a los antivirus corporativos de administracin centralizada, los cuales tienen ms de un punto dbil.

Antivirus de Administracin Centralizada

Existen muchas soluciones antivirus que trabajan de modo centralizado. Poseen un componente servidor, que se instala en un servidor de la red interna, y componentes clientes en cada una de las estaciones de trabajo, que son administrados, y actualizados, por el componente servidor en forma automtica.

Este tipo de herramientas se actualizan en forma centralizada a travs del servidor, el cual luego actualiza las estaciones de trabajo a travs de la red, abriendo algn puerto TCP/IP. Se han descubierto gran cantidad de agujeros de seguridad en esta operacin, dado que estos antivirus no estn desarrollados correctamente para realizar este proceso, debido a que tienen buffers no chequeados, y pocas medidas de seguridad, cuestiones que los hacen vulnerables.

Adems de este notorio punto dbil, se han descubierto otros problemas en estos antivirus. Tal es el caso del OfficeScan de Trend Micro Inc., el cual, segn se ha reportado recientemente, en algunos casos, no detecta un virus hasta que el mismo termin su ejecucin y desinfect el sistema. Este problema se encuentra en el cliente del OfficeScan, el cual no es el PcCillin (aplicacin que funciona perfectamente) y, aunque ya se anunci que el problema ser arreglado a la brevedad, es otro de los puntos dbiles que estas aplicaciones tienen.

Conclusin

Este artculo no busca desprestigiar a los antivirus, ni decir que los mismos son completamente intiles. Tan slo intenta demostrar que los antivirus como los conocemos actualmente tienen varios puntos dbiles que deben mejorar a fin de brindar realmente esa proteccin imbatible contra los virus que tanto promocionan pero que no siempre cumplen.

Pese a esto, son la defensa recomendada por nosotros a la hora de protegerse contra los virus, pero no se debe creer que para estar libre de infecciones basta con slo un antivirus. Es necesario que los usuarios entiendan que, adems de mantener actualizados los antivirus y de poseer uno, deben utilizar de forma segura su ordenador, no abriendo archivos no solicitados, como una de las primeras defensas contra los virus, adems de los antivirus, adems de todos los consejos que normalmente damos.

(*) Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informticos y seguridad de LasNoticias.Org


Los antivirus

HSBC: El Lavado de Activos, las debilidades y las ... · HSBC: El Lavado de Activos, las debilidades y las implicancias del caso. Los criterios de aceptación de los riesgos, sin

Debilidades y problemas de los Consejos Comunitarios del

Ventajas y desventajas de los antivirus

Los antivirus informaticos

Fortalezas y debilidades reputacionales de los líderes españoles

01. Crea Tu Primer Troyano [Indetectable Por Los Antivirus]

Que son los antivirus

Los 10 antivirus mas conocidos

Talleres didácticos CEU · Debilidades en los algoritmos o protocolos de seguridad Ingeniería social (son las debilidades “humanas”) Atacantes. Cómo. Departamento de Tecnologías

Los virus y antivirus

Fortalezas y debilidades de los actuales métodos de ensayo en fachadas · Fortalezas y debilidades de los actuales métodos de ensayo en fachadas La propagació del foc per façanes

GUÍA PARAInstale antivirus en los ordenadores Tener un antivirus actualizado es una medida básica de seguridad, instale uno en todos los equipos y manténgalo actualizado

Los Antivirus. Norton Antivirus Uno de los más famosos y conocidos. Se hizo popular con sus primeras versiones por su buen trabajo en computadores de

Los Virus y Antivirus Del Futuro

los mejores Antivirus

El Negocio de los falsos antivirus - Panda Security Negocio de los falsos... · antivirus que detectan cientos de amenazas en los ordenadores de sus víctimas. Sin embargo, ... se

Los virus informáticos, tipos de virus y antivirus

Reconocemos nuestras fortalezas y debilidades - Minedu · Muestra los dos carteles con las palabras “fortalezas” y “debilidades”, respectivamente, que preparaste para esta

Debilidades en los protocolos de votación por Internet … (5).… · Debilidades en los protocolos de votación por Internet centralizados y descentralizados Weaknesses in centralized

los virus y los antivirus

Fortalezas y debilidades de los sistemas de gestión de la

Características de los virus y antivirus

Virus y antivirus en los computadores 2

LOS DIRECTIVOS PÚBLICOS EN ESPAÑA (TRES TESIS Y …cemical.diba.cat/es/publicaciones/ficheros/R_JIMENEZ... · 2006-09-08 · debilidades manifiestas. Un ejemplo de tales debilidades

Telemática - Debilidades de los sistemas de información

GBS y los antivirus AVAST

Servicio de Informática. Unidad de Atención a Usuarios · Los procesos necesarios para la instalación del nuevo antivirus son los siguientes: a. Desinstalación del antivirus que

Desactivar Antivirus y Poner. Los Archivos en Las Excepciones

DEBILIDADES(DE(LOS(MÉTODOS(DE( …

Utiliza antivirus y aprende sobre los virus informáticos

III. Fortalezas y Debilidades de los Países BRICS

LAS DEBILIDADES ESTRATÉGICAS DE LOS GRANDES GRUPOS

Los antivirus

DEBILIDADES DE LOS PRINCIPALES PARADIGMAS LA CAÍDA DE LOS PARADIGMAS COMUNISMO HOLISMO CAPITALISMO SOCIALISMO