domingo, 29 de julio de 2001

Reflexiones sobre SirCam

Dos años después de que apareciera Melissa, el gusano que pilló
desprevenidos a miles de usuarios, vamos para atrás, como los
cangrejos. SirCam sólo representa una nueva faceta, unas más, del
mismo problema. ¿Hay soluciones?
Desde la simplicidad de Melissa o ILoveYou, pasando por especímenes
mucho más elaborados y complejos como Hybris o Magistr, el problema
siempre es el mismo. Por un lado, los usuarios que no se resisten a
la tentación de abrir el archivo adjunto que les llega a través del
correo electrónico. Por el otro, los antivirus que siguen siendo
incapaces de proteger contra virus nuevos. El resultado es siempre
la infección de miles de sistemas, la espera mientras las casas
antivirus desarrollan la vacuna y, después, las actualizaciones que
deben realizar los usuarios para reconocer el nuevo virus.

En el mejor de los casos, cuando se trata de gusanos de gran
propagación, la vacuna suele estar disponible entre 12 y 24 horas
después de las primeras infecciones, tiempo más que suficiente para
que el virus logre autoenviarse a miles de sistemas aprovechando
Internet. El problema se agrava si tenemos en cuenta los desfases
que ocurren entre la aparición de la vacuna y la actualización por
parte de los usuarios. A continuación los resultados obtenidos en
la Encuesta AntiVirus 2001 - Hispasec, llevada a cabo hace unas
semanas sobre más de 2000 usuarios que participaron en el test EICAR.

Cada cuanto tiempo suele actualizar su antivirus:

Todos los días -> 23,46%
Dos o tres veces por semana -> 15,64%
Una vez a la semana -> 29,62%
Dos o tres veces al mes -> 14,10%
Una vez al mes -> 11,28%
Trimestralmente -> 2,82%
No suele actualizarlo -> 3,08%

Tuvimos ocasión de comentar este problema con Eugene Kaspersky y
Mikel Urizarbarrena, presidentes de AVP y Panda Software
respectivamente, con motivo de la Comparativa Antivirus 2001 de
Hispasec (http://www.hispasec.com/comp_avs2001.asp?id=18). Ambos
coincidieron en apuntar a la heurística como solución, si bien queda
patente que sigue resultando trivial crear virus que burlen este
tipo de detecciones genéricas.

Otras soluciones más genéricas pasan por el uso de la criptografía.
En la misma comparativa antivirus abordamos esta posibilidad en el
caso concreto de Windows XP y el uso de la firma digital a nivel de
aplicaciones (http://www.hispasec.com/comp_avs2001.asp?id=28).

Visto que aún existe un gran número de usuarios que hacen oídos
sordos a la regla de oro de no abrir archivos adjuntos no
solicitados, que los antivirus no planean modificar su esquema
actual y que tampoco esperamos que Microsoft resuelva este problema
a nivel de sistema operativo, vamos a proponer una solución
intermedia.

Actualizaciones Urgentes Automatizadas

Como hemos visto, el desfase de tiempo entre la aparición en escena
del virus y la protección efectiva del usuario es debido en su mayor
parte al proceso de actualización del antivirus. La mayoría de las
soluciones dejan esta acción a discreción del usuario, que debe
activarla manualmente.

Existen otras soluciones que permiten automatizar estas descargas,
si bien los tiempos no suelen ser inferiores a 24 horas y aún son
muchos los usuarios reticentes a que el antivirus decida cuándo
descargar cientos de kilobytes sin tener en cuenta que puede consumir
ancho de banda en detrimento de otros servicios que se estén
utilizando en ese momento, como descarga de otros archivos, juegos
en línea, vídeoconferencias, etc.

La propuesta consiste en que el antivirus pueda detectar la necesidad
de una actualización urgente, cómo por ejemplo la de SirCam, y
proceder a la descarga automatizada de su correspondiente vacuna.
La comprobación periódica a través de Internet mientras el usuario
está conectado no tiene por qué consumir más que unos pocos bytes
(puede ser inferior a 1 Kb a la hora), tráfico insignificante que
no supone molestia alguna para el usuario.

Ante la detección de una alerta, la casa antivirus sólo tendría que
modificar el estado en su servidor y los antivirus procederían a la
descarga automática de la vacuna de forma casi inmediata. El tráfico
producido en el caso de alerta también sería mínimo, pues incluiría
la vacuna específica para el virus en lugar de las actualizaciones
diarias o periódicas que suelen incluir información sobre decenas de
especímenes.



Bernardo Quintero
bernardo@hispasec.com


Más información:

18/07/2001 - SirCam, gusano de propagación masiva
http://www.hispasec.com/unaaldia.asp?id=997

21/03/2001 - Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878

13/02/2001 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
http://www.hispasec.com/unaaldia.asp?id=842

29/11/00 - "Hybris", un nuevo giro en la historia de los virus
http://www.hispasec.com/unaaldia.asp?id=766

01-05-2000 - Alerta: VBS.LoveLetter infecta miles de sistemas
http://www.hispasec.com/unaaldia.asp?id=552

28-3-1999 - HispaSec analiza a Melissa
http://www.hispasec.com/unaaldia.asp?id=152