Antivirus, y la eterna guerra por ver quién la tiene más larga

Escrito el 20 septiembre 2008, 12:55am en Seguridad

Tagged with: , , , , ,

Antes de seguir con esta entrada, quiero aclarar que no tengo nada en contra de algunas de las empresas que voy a nombrar, ni mucho menos relación laborar alguna.

En más de una charla o conferencia sobre seguridad informática a la que he podido asistir me han lanzado la típica pregunta y ¿y vos que sos? (profesionalmente), y siempre respondí mas o menos lo mismo: un aficionado/fanático de la seguridad informática, y es por eso que aclaro que las opiniones que verán en ese artículo no son más que conjeturas de un aficionado y NO un experto o profesional de la seguridad informática, así que si alguno le parece que estoy equivocado, haga uso de los comentarios que para eso están.

Antivirus definitivo

Ahora sí, largamos :P. Estaba leyendo un boletín enviado por la empresa española de seguridad antivirus Panda Security sobre la actual “guerra de las cifras”. Dicha publicación se refiere al tema del regreso de la competencia entre algunas compañías fabricantes de antivirus, por ver quien posee la mayor base de datos de firmas de malware (o virus como se les decía antes). Si volvemos unos cuantos hacia atrás, recordaremos que los antivirus antes se manejaban solo a base de comparaciones, es decir que se comprobaba que el archivo analizado no poseyese cierto conjunto de caracteres en direcciones especificas del mismo, esto último era lo que se llamaba firma, y se generaban a partir de archivos conocidos por ser maliciosos o estar infectados; además de buscar ciertos nombres de archivos en ubicaciones especificas en el sistema afectado.

El tiempo paso, y con la explosiva expansión de Internet y las redes en general, las casas antivirus no dieron abasto para ir generando nuevas firmas a medida que iban apareciendo los nuevos especímenes, por lo que se comenzó a implementar la heurística, que si lo queremos definir fácilmente, sería una forma de inteligencia artificial, que nos permite detectar nuevas variantes de aplicaciones maliciosas a partir de firmas genéricas, o mejor aun en base al comportamiento del malware.

¿A qué viene todo esto?

Panda es una de las empresas que más se resiste a cambiar su forma de ver las cosas, no digo que sea un mal antivirus, hacen un buen trabajo, pero deberían comenzar a pensar más en una heurística por comportamientos que en seguir luchando por tener la base de datos de firmas más grande del mundo. Y hablando de esto, el titulo tal vez sueno demasiado machista en algún sentido, pero es lo que suele decir un conocido y tiene razón, empresas como Panda, Sophos y McAfee se empeñan en ver quien la tiene más larga, a la base de firmas mal pensados 😛

De nada nos sirve un sistema distribuido y en línea que nos pueda tener conectados a una enorme base de datos si en el momento que nos quedamos sin conexión o simplemente estamos en un lugar en donde no tenemos acceso a Internet y decidimos conectar algún dispositivo extraíble, como un pendrive, y nuestro antivirus carece de una heurística como la gente. Ahí si nos podremos perder las 13.225.535 amenazas que dice detectar Panda en donde más nos plazca.

Panda se queja de que su competencia reaviva una guerra arcaica, pero es siempre la primera en salir a responder y decir que es quien la tiene más larga.

Enlaces relacionados:

http://es.wikipedia.org/wiki/Código_maligno
http://es.wikipedia.org/wiki/Heurística_(antivirus)
http://www.segu-info.com.ar/terceros/?titulo=heuristica

En respuesta al boletín publicado por Panda Security:
http://www.pandasecurity.com/spain/emailhtml/oxygen/200908_ESP_interior.htm

Imagen | Zé Rosa

Comentarios (12)

  1. vitomartin.com — septiembre 20, 2008 a las 6:30 am

    Cómo estás, Martín??? Hoy x hoy qué debería llevar de seguridad residente y/o instalado x las dudas un Windows XP / Vista ? Tenés puesta la camiseta de algún antivirus? 😉 Y sobre los anti-spyware? Un abrazo!

  2. Martín Aberastegue — septiembre 20, 2008 a las 2:48 pm

    Hola Vito, todo bien. Con respecto a lo de si llevo puesta la camiseta de algún antivirus, obvio que NO, y como recomendación te podría decir “Kaspersky Antivirus” o “ESET NOD32/Smart Security”, pero eso es solo en base a mi experiencia, nada más. Y antispyware actualmente no utilizo, pero de los que he probado y escuchado de algunos conocidos, “SpyBot Search & Destroy” y “Ad-Aware” andan MUY bien.

    http://www.kaspersky.com
    http://www.nod32-la.com
    http://www.lavasoft.com
    http://www.safer-networking.org

  3. Cristian — septiembre 20, 2008 a las 7:02 pm

    jajaja
    A ese conocido me parece q lo conozco 😉
    Siempre dije que mi “principio de quien la tiene más grande haría historia”.

    PD: me quedé sin post para el lunes :/

    Cristian

  4. Alex (Blogsessive) — septiembre 22, 2008 a las 6:25 am

    I’m sorry that my spanish is poor and I’m forced to write in english, but I wanted to congratulate you for the nice customization of my theme, Simple Balance. You did a nice job!

    Cheers!

  5. Martín Aberastegue — septiembre 22, 2008 a las 10:06 am

    Thanks for your comment Alex!

  6. NarK — octubre 5, 2008 a las 11:38 am

    Hola Martín, muy bueno tu blog. Quería preguntar algo: qué opinión le mereces a la versión free del Antivirus Avira?

    Saludos y gracias por tu respuesta 🙂

  7. Martín Aberastegue — octubre 5, 2008 a las 7:21 pm

    Nark, solo lo he utilizado/instalado en dos PCs, y me parecio bueno y rapido. A simple vista mejor que el AVG (version gratuita).

  8. Luis Corrons — octubre 15, 2008 a las 3:54 am

    Hola Martín,

    Un compañero mío acaba de pasarme el link a tu blog y acabo de leer esta entrada. La nota a la que haces referencia no sé cual es, pero seguro que está basada en el post que escribí en el blog del laboratorio (en inglés):

    http://pandalabs.pandasecurity.com/archive/Mine-is-bigger-than-yours_2100_.aspx

    Quizás la nota que viste estaba mal enfocada, pero si lees lo que escribí básicamente estoy diciendo lo mismo que tú aquí.

    Respecto a lo que comentas sobre que deberíamos dedicarnos más a temas de heurística por comportamiento… también tienes razón, lo único es que eso ya lo llevamos haciendo años y todos nuestros productos desde el año 2004 llevan un módulo de análisis de comportamiento que es capaz de detectar malware sin necesidad de firmas.

    Un saludo,
    Luis Corrons
    PandaLabs Technical Director

  9. Rafael — octubre 15, 2008 a las 4:59 am

    Hola Martín

    Creo que en Panda están completamente de acuerdo contigo y que no has leído bien el artículo 🙂

    creo que Panda quiere destacar que, aparte de un gran fichero de firmas, ha desarrollado una nueva tecnología para detectar malware desconocido.

    de hecho, el objetivo de ese artículo parece ser decir lo mismo que tú dices: que da igual quién detecte más por el fichero residente en el PC, porque el gran riesgo es el malware nuevo y, por lo tanto, lo que importa es tener unas buenas tecnologías heurísticas.

    El texto dice: “.. Y es que estas cifras en torno a las cuales se levanta a veces tanto ruido se refieren sólo al número de amenazas detectadas por el fichero de firmas de una solución, pero no dicen nada de la capacidad de detección proactiva de esa solución, esto es, de su capacidad de detectar amenazas desconocidas. En un entorno en el que cada día se crean miles de códigos maliciosos nuevos y en el que los laboratorios de seguridad no dan abasto para crear las vacunas de los distintos ejemplares nuevos -provocando que miles de ordenadores estén infectados, pese a tener un antivirus instalado-, este tipo de detección es fundamental. Debido a esto, los productos de una compañía que detecte un bajo número de ejemplares por firma podrían ser mejores que otros cuyo fichero de firmas sea enorme, pero que no cuente con la tecnología proactiva adecuada. Así pues, aparte de con un buen fichero de firmas, un buen antivirus debe contar con una tecnología proactiva eficaz.”

    creo que es lo mismo que tú dices,no?

  10. Martín Aberastegue — octubre 15, 2008 a las 11:47 am

    Rafael y Luis, gracias por sus comentarios. El artículo al que me refería era al publicado vía Oxygen3, el enlace esta al final de mi entrada.

    En ese mismo artículo claramente dice en un párrafo:
    “En Panda Security, por nuestra parte, hace mucho que comenzamos a dar estas cifras. En la actualidad, detectamos 13.225.535 amenazas.”

    Eso y todo lo demás yo lo tome como que Panda no solo quiere decir “tenemos una nueva tecnología” sino seguir publicitándose como siempre con lo de “nuestra DB es mayor”.

    Por último Rafael, Panda habla sobre un sistema distribuido en línea, relee mi penúltimo párrafo.

    Venían bien en esa publicación pero cuando pusieron los números para comparar su DB con las de la competencia creo que la embarraron.

    Luis: si tienen una tecnología como esa desde el 2004, ¿por qué siguen remarcando la cantidad de firmas en sitios como Infectedornot.com?

    “Podemos detectar en tu PC más de 11 millones de virus, spyware y cualquier otro tipo de malware.”

    Entiendo que tal vez el usuario menos experimentado pueda guiarse más por este tipo de cosas que por algo mas a la hora de adquirir una licencia, pero sería conveniente contribuir a la educación que hacen muchos vendors en base a la detección heurística.

  11. Luis Corrons — octubre 15, 2008 a las 12:07 pm

    Hola Martín,

    Gracias por tu rápida respuesta. Respecto a la pregunta que formulas, no se habla de firmas, simplemente informa sobre el nº de ficheros distintos de malware que sabemos que es capaz de detectar. El nº real será mucho mayor (mucho lo detectamos sin firmas).

    La razón de esto es para tratar de hacer consciente a los usuarios de la cantidad de amenazas que existen.

    Respecto a la educación al usuario es algo que hacemos normalmente, la última conferencia que dimos al respecto fue en Ottawa hace un par de semanas, desde aquí te puedes descargar la presentación y el paper:
    http://pandalabs.pandasecurity.com/archive/Back-from-VB2008.aspx

    Un saludo,
    Luis

  12. Martín Aberastegue — octubre 15, 2008 a las 12:34 pm

    Cuando hablo de educación me refiero a nivel usuario final, la presentación esa que pasas del VB es un tanto avanzada para un usuario con pocos conocimientos sobre el tema y seguramente se mareara luego del 3 slide.

Los comentarios están cerrados para este artículo.