El fracaso de los antivirus convencionales

icono para asuntos serios de seguridad Esta mañana, después de revisar el buzón de correo, he enviado dos muestras a VirusTotal, el magnífico servicio de análisis de Hispasec. Se trataba claramente de archivos infectados, pero quería verificar lo que ya imaginaba: uno de ellos es detectado por el 40% de los antivirus y el otro sólo por el 25%. Al final mucha palabrería y mucha nube pero este segundo se les habría colado… ¿Cambiará alguna vez el sistema de análisis de los antivirus tradicionales o, definitivamente, los virus ya han ganado la partida? Así que ya sabéis: menos antivirus y más sentido común. Los que lo tengamos, claro.

Antivirus para escritorios GNU/Linux: Bitdefender

icono para seguridad Bitdefender es un antivirus dentro de lo que podríamos considerar “gama media” según las valoraciones que se hacen por ahí. El principal defecto que nos encontramos en la versión que ofrecen para Linux es que no se trata de un antivirus en tiempo real que analice los ficheros que abre nuestro sistema sino que sólo actúa bajo demanda. No es, por tanto, una solución adecuada salvo para quien ya tenga una elevada conciencia acerca de la seguridad informática y estos son los que, precisamente, apenas necesitan un antivirus. Mucho menos (al menos por el momento) en Linux.

La descarga del software se hace desde aquí. Existen versiones en formato .deb, .rpm e .ipk. Asimismo ofrecen versiones para 32 y 64 bits y con GUI o sin el. Yo he probado tanto la versión rpm sobre un Fedora 11 con KDE 4 como la deb sobre Ubuntu 9.04 y ambas funcionan perfectamente y se integran relativamente bien con el escritorio. Una vez instalado (basta con descargar el paquete adecuado, agregarle el atributo de ejecutable, lanzarlo con privilegios de root desde un terminal y seguir las instrucciones) el icono para lanzar el gui aparece dentro de la categoría de aplicaciones del sistema o puede lllamarse en línea con el comando bdgui. La licencia es de evaluación por sólo 30 días pero puede extenderse a un año solicitando un nuevo código por correo electrónico desde aquí.

Bitdefender en Linux

Por lo demás y como puede apreciarse, el entorno es bien sencillo: una configuración (muy básica), actualización de firmas (en modo manual siempre y sin opción de programarlas, otro defecto grave para usarlo en el escritorio de un usuario común) y una tercera opción para arrancar el scanner. Este último es relativamente pesado pero en una máquina normalita (mi equipo tiene ya más de tres años) funciona de forma desahogada:

Bitdefender en Linux, consumo de recursos

Las pruebas de detección que he realizado son bastante correctas. En los últimos años he descuidado bastante mi colección de virus (si, si, colecciono virus informáticos ¿es grave?) pero con los datos que tengo no he encontrado ninguna pifia importante. Y, por supuesto, detecta las cuatro modalidades del test EICAR. Por defecto no toma acciones sobre los archivos infectados y es el usuario quien tiene la potestad de desinfectarlos, borrarlos, ponerlos en cuarentena o no hacer nada.

Bitdefender en Linux, acciones después de la detección

Bitdefender en Linux, file drop zone En cuanto a la integración con el escritorio, el botón de “Hide” minimiza el programa en el “System Tray” y, aunque la integración no es perfecta en KDE 4.x, funciona de forma correcta tanto en este como en Gnome. Los idiomas disponibles son sólo cuatro: inglés, frances, portugues y rumano. Un detalle muy vistoso es que tiene una opción para colocar un “widget” sobre el escritorio (file drop zone, lo llaman en la configuración) sobre el cual podemos arrastrar archivos o carpetas para ser analizados y que funciona perfectamente en ambos escritorios. Por último, es posible añadir extensiones para integrarlo con nautilus en Gnome o con konqueror (pero sólo en KDE 3.x) aunque estas han de ser compiladas manualmente por el usuario. No tiene opciones de integración con ningún cliente de correo electrónico.

La desinstalación se hace ejecutando el mismo instalador con el argumento --uninstall

En definitiva, y según mi opinión, no es un producto que sirva para instalarlo de forma corporativa en los escritorios Linux de una empresa u organismo en la que sus usuarios no tengan una formación adecuada en materia de seguridad. El hecho de que no funcione en tiempo real es el principal escollo (ya que la actualización de firmas puede solventarse programando la ejecución en línea del comando bdscan --update con privilegios de root). Afortunadamente tampoco parece hacer falta. Aún.

9 millones de Windows infectados

icono para asuntos serios de seguridad Se calcula que el último gusano que afecta a los equipos con sistemas operativos de Microsoft cuenta ya en su haber con más de nueve millones de ordenadores infectados. Y todo ello en apenas un par de semanas. El “bicho” se transmite en un primer momento de forma automática y sin intervención del usuario a través de sistemas con windows que no están correctamente actualizados (concretamente sin el parche descrito en el boletín MS08-067 de octubre del 2008). En una segunda fase es capaz de contagiar equipos correctamente parcheados a través de una memoria USB infectada o de un directorio compartido a través de la red. Puedes leer más información en inglés en el blog de F-Secure (empresa que, además, facilita una herramienta para su desinfección) o en las páginas de Sergio Hernando.

Frases desafortunadas (y XIX)

icono para las frases desafortunadas

“El iPhone es invulnerable a los virus tradicionales para móviles, que usan las conexiones Bluetooth y los mensajes MMS para propagarse, ya que no tiene estas funcionalidades.”

Alexander Gostev, analista de virus en Kaspersky Lab. No, si al final la Iglesia va a tener razón y la mejor forma de prevención del SIDA es la abstinencia sexual…

El amor sigue siendo rentable

icono para virus y malware Para los virus, claro. Y si no fijaros en este que me acaba de llegar y que tiene pinta de, si su distribución es lo suficientemente buena, causar estragos. El mensaje llega en formato HTML y con la apariencia de una misteriosa carta de amor anónima con un par de referencias de género (pero que muy bien pueden pasar desapercibidas) y, supuestamente, ofrecida a través de un servicio de yahoo. Todo realmente bien cuidado a mi juicio y, si no, vean, vean:

Otro Virus más...

Aunque no se aprecia en el volcado de pantalla que he tomado el corazón es un gif animado (este concretamente) que palpita y en las dos líneas de texto azul sobre fondo rojo que aparecen “empastadas” al reducir la imagen pone “Postal enviada por : Tu amigo invisible Si no puede ver la tarjeta virtual correctamente”. El mensaje lleva cinco enlaces todos los cuales descargan un ejecutable de windows llamado yahooportales.exe que se encuentra alojado en dos ubicaciones diferentes: en la web de una inmobiliaria italiana (que tiene aspecto de ser menos virgen que la yegua de Carlos y, sino, vean esto que también tienen alojado de forma gratuita) y de un blog checo. El resultado de pasar el ejecutable por virustotal da tan sólo un 50% de positivos (tres de los cuales sólo marcan el archivo como sospechoso) y otro 50% de motores (entre ellos los afamados NOD32, Norton, McAfee, Fortinet, eTrust y, por supuesto, Microsoft) que no detectan nada raro en el archivo.

Virus Total

Mensaje final para mis múltiples admiradoras anónimas: por favor, si alguna quiere decirme cuanto me quiere que lo haga con nombres y apellidos porque estos mensajitos van directamente a la basura. Salvo días como este en los que me aburro un poco 😉

Los antivirus no hacen milagros

Icono de textos sobre virus y malwareHonestas y valientes las declaraciones (en castellano en un boletín de una al día) de Natalya Kaspersky, CEO de Kaspersky Lab, en las que declara que su empresa está desbordada por el número de muestras de malware que reciben al día y en las que pide la cooperación activa de la policía internacional para atajar el problema.

“We don??t have the solutions. “We thought it was possible to do antivirus and that was adequate protection. That time is gone. No antivirus company can come before you and say we can handle everything. It’s responsible to be vocal.”

Y digo honestas porque no hay muchas empresas capaces de reconocer que su trabajo no es 100% efectivo. Quizás es cierto que se necesita más intervención policial para detener a los “fabricantes” de virus y a quienes se benefician de ellos, pero también es cierto que hace tiempo que se reclama a las empresas de antivirus un cambio de enfoque para una tecnología basada fundamentalmente en el análisis de patrones y que a todas luces resulta ya obsoleta e insuficiente.

Lo peor de esto es que el lanzamiento de Vista empeorará el panorama. Los ordenadores empiezan ya a venderse con esta nueva versión de windows pero a los fabricantes de antivirus les ha pillado con el pie cambiado y parece que no hay aún demasiadas opciones a la hora de escoger uno que funcione correctamente. Por esto y por que mucha gente pensará que quién mejor que Microsof para proteger sus propios sistemas, habrá mucha gente que se mueva a Live OneCare cuando parece que ellos mismos reconocen que su tecnología no está aún del todo fina

Muy buena pinta no tiene todo esto, no. A este paso este año tampoco acabamos con el spam Bill… 😀