3 de julio de 2008

W --> De Virus y Vacunas

Comienzo el mes fuertecito (que no gordo, como diría Carman) y aquí va otra entrada - repaso de la actualidad, esta vez me he encontrado con cuantificación del "Malware" detectado por los principales proveedores de antivirus del mundo, lease Symantec, Panda && friends, mejor dicho, el número de firmas distintas que manejan los antivirus del mundo, concretamente:
  • F-Secure 900,000
  • McAfee 400,000 – 10,000,000
  • Sophos 4,600,000
  • Symantec 1,122,311
  • Panda 13,225,535

Dicho en bruto, mientras en Panda llevan más de 13 millones de firmas, en Mcaffee estiman que reconocen 400.000 firmas de malware distintas que detectarían 10.000.000 de virus, estas cifras dan que pensar, o en Symantec, Sophos, F-Secure son unos paquetes, o en Panda, ¡Son unos cracks! Allá a finales/principios de los 80/90 cuando Carlos Jimenez inventó el primer antivirus (tal como lo conocemos ahora, o parecido) probablemente no podía imaginar que a día de hoy existieran herramientas para generar automáticamente troyanos, gusanos, etc. etc. Y encima a medida, específicos para una víctima, luego es imposible que hayan sido detectados anteriormente.

Con todo esto el trabajo de las compañías antivirus ha cambiado sustancialmente, no es manejable tener trabajando a 100, 1000 Ingenieros para analizar los 2000, 3000, ...¿XXXX? virus / malware que aparece a diario. Ahí es cuando surgen las Firmas, cada firma reconoce el código de un/N virus, es decir no existe una relación 1-1, sino 1-N. Ahí es cuando entra en juego la granularidad de una regla, o dicho de otra forma, ¡el tamaño del grano! Firmas más genéricas valdrán para detectar mayor cantidad de malware, sin embargo, la posibilidad de falsos positivos sube, mayor granularidad (hilando fino) implica mayor trabajo, mayores recursos, menor competitividad. La solución está en encontrar el término medio. Para colmo los antivirus no son la panacea de la seguridad (uys, eso es novedad) y es necesario "otro" tipo de sistemas / medidas, y por ahí anda más o menos el negocio de estas compañías.

Una tendencia es llevar la política contraria, utilizar las llamadas "whitelist", es decir, solo se van a utilizar los programas que estan reconocidos y permitidos, ya sea manualmente, los que estén firmados por CA reconocidas, etc. Pero, ¡ja! eso tampoco es suficiente, yo digo que www.mibanco.es es una página reconocida y "segura", ¿pero y si esa página ha sido vulnerada? Pues que te la tragas, pero cuidado, Flash Player es una aplicación reconocida, vamos a permitir su ejecución, pero, ¿y si no está actualizado?, Es un programa potencialmente vulnerable (y se sabe), ¿debemos ejecutarlo?

Es dificil ponderar y afrontar la seguridad ante tal escenario, la ida de las whitelist está muy bien como complemento a los antivirus, pero seguirá siendo necesario analizar la actividad de todo el software que se ejecuta en nuestra máquina, llamémoslo heurísticas más avanzadas, BBDD gigantescas con millones de firmas, o Inteligencia Artificial avanzada.

Reflexiones de Jueves por la mañana!

Salu2!

0 comentarios: