miércoles, 15 de octubre de 2008

Los antivirus no protegen realmente contra todo el código malicioso (según Secunia).

 

“Mi antivirus me protege contra código malicioso, o al menos es lo que dice la publicidad”, eso es lo que podemos pensar ante la interrogante de si recibimos una protección adecuada por parte de nuestro antivirus. Y Secunia dice en un análisis (Internet Security Suite test October 2008) que tal vez no sea el caso de que estemos protegidos “contra todo el código malicioso”.

 

Secunia es una empresa que se dedica principalmente a ofrecer servicios de avisos “personalizados” de vulnerabilidades y está orientado a organizaciones. Un administrador ingresa las marcas y versiones de su infraestructura (Windows XP SP2, Office XP, etc.) y Secunia únicamente enviará avisos de debilidades para esa infraestructura, eliminando tiempo valioso que se tendría que invertir para revisar diariamente cuáles son las que afectan de las decenas que salen cada día.

 

Pues bien, esta empresa se dio a la tarea de probar varios productos de seguridad y ver qué tan bien detectaban archivos que pretendían explotar vulnerabilidades conocidas. Este estudio se sale de los estudios convencionales que prueban qué tan bien se detectan troyanos, virus, gusanos y tal vez spyware. Aquí lo que hizo Secunia es crear archivos con extensiones xls, ppt, pdf y páginas html; todos ellos diseñados específicamente con el propósito de explotar una debilidad conocida y documentada. Los resultados son decepcionantes (el más alto que fue Norton que detectó sólo el 21% de todos los archivos maliciosos, TrendMicro y McAfee el 2%, F-Secure el 1% , etc.)

 

Algo queda claro: los antivirus por sí solos no han evolucionado y siguen enfocados en las viejas amenazas como son virus, troyanos y gusanos; y en cierta medida al spyware. Lo interesante (y que comento más adelante) es que algunos de los productos se promocionan como “Suite de Seguridad en Internet” o “Suite de Seguridad”, y según arroja el estudio de Secunia esto podría no ser realmente del todo cierto. ¿Por qué? Pues porque los archivos que un usuario recibe vía Internet (html, pdf, etc.) y que intentan explotar una debilidad de una aplicación son una amenaza que puede llevar a diversas consecuencias no deseadas y/o maliciosas. Si navego con Opera y el sitio intenta explotar una debilidad en este navegador, quisiera que mi antivirus esté enterado y lo detenga? Si bajo un archivo pdf para abrirlo con el Adobde Reader o bajo un archivo doc para abrirlo con Word, me gustaría que mi antivirus detuviera un intento de explotar una debilidad de estas aplicaciones?

 

Tal vez las compañías antivirus digan: “bueno, estamos en el entendido de que detectaremos virus, gusanos, troyanos y spyware, además de que la Suite de Seguridad ofrece un firewall personal y otros módulos de seguridad”. Y si la suite tiene en efecto un firewall personal, es cierto que los riesgos se deben de reduir pero pensemos que las debilidades se pueden explotar de diversas formas, donde por ejemplo podrían explotar una debilidad de Firefox para extraer información vía http y como se está usando una aplicación válida (Firefox) para el firewall y además se están usando los puertos de http correctos, el tráfico podría pasar inadvertidamente. En efecto se requiere que el atacante cree un ataque sofisticado.

 

Y aquí viene lo importante (¿o engañoso?): el estudio de Secunia NO menciona cómo un firewall personal (que pensaría está presente en todas las Suites probadas) reduce o compensa el riesgo de que el antivirus no detecte un exploit en un archivo. Porque es importante decir que Secunia dice que probó “Suites” y no sólo un antivirus stand-alone. El estudio se limita a decir que las firmas de los antivirus no detectan a estos archivos maliciosos, pero no dicen el papel que un firewall (u otros módulos de la Suite) realiza para reducir (o mantener) el nivel de riesgo producido por un antivirus que no hace una detección correcta. Las Suites están compuestas por varios módulos como un antivirus, antispyware, firewall, antirootkit, protección del navegador y otros componentes que en su conjunto ofrecen seguridad; Secunia no dice cómo el conjunto de protecciones actúan y compensan la no detección de exploits de uno de los módulos (antivirus).

 

Conclusión: es revelador que los antivirus por sí solos no detecten ni medianamente bien a los exploits incrustados en los archivos, pero queda la duda de la amenaza real que esto representa para una Suite de un usuario conformada por no sólo un antivirus sino por otros módulos de protección. Por otro lado, está claro que un usuario que no use una Suite sino únicamente un antivirus estará expuesto definitivamente, y esto último sí es serio.