miércoles, 24 de julio de 2002

Certificaciones antivirus obsoletas

Ancladas en el pasado, las principales certificaciones antivirus como
ICSALabs, Checkmark o VB 100%, no se ajustan a las necesidades actuales
de los usuarios ni evaluan en su justa medida la realidad de las
soluciones antivirus de hoy día.
Sus logotipos suelen ocupar contraportada de las cajas de productos y
aparecen en las webs de las casas antivirus como galardones que,
supuestamente, certifican la calidad de sus soluciones. Si nos
adentramos un poco en sus especificaciones encontramos que los tests
son pobres y se centran principalmente en los porcentajes de detección,
y en el mejor de los casos desinfección, sobre colecciones de muestras
conocidas.

Con la explosión del fenómeno Internet, y las implicaciones que todos
conocemos en el mundo de los virus informáticos, sobre todo a modo de
i-worms, el modelo reactivo de los antivirus tradicionales, basados en
ofrecer vacunas después de haber detectado un espécimen nuevo, deja
de ser una solución efectiva.

En el tiempo en que se detecta un virus nuevo, es analizado por el
laboratorio antivirus, desarrollan la vacuna, la solución pasa el
control de calidad interno, ponen la nueva firma de detección a
disposición de los usuarios y éstos se actualizan, un gusano de
Internet o i-worm puede haber infectado miles y miles de sistemas.
No hay que incidir mucho en esta cuestión, basta con nombrar a
'Melissa', 'ILoveYou', 'Kournikova', 'Nimda', 'BadTrans', 'Sircam'
o 'Klez', entre otros muchos.

En este punto alguien podría preguntar por las heurísticas actuales,
ya que supuestamente, o al menos así se venden, son las tecnologías
encargadas de detectar nuevos virus. Queda claro por la experiencia
que no son efectivas, de lo contrario no tendríamos que recordar
para nada los nombres de especímenes antes comentados.

Las heurísticas, en realidad, son también detecciones basadas en
firmas, pero que buscan porciones de código más genéricas en vez de
la cadena concreta que identifica a un virus en particular. El diseño
de un virus nuevo, o la ofuscación a nivel de código de uno ya
existente, burla de forma trivial este tipo de detección. Una pequeña
prueba de concepto se pudo ver el pasado junio durante las jornadas
de seguridad de e-Gallaecia, donde mi compañero Jesús Cea y yo
expusimos sobre las debilidades de las soluciones antivirus actuales.
El simple uso de variables intermedias, en un gusano escrito en Visual
Basic Script de apenas 20 líneas de código, logró vencer a las
heurísticas de los principales productos antivirus del mercado.

El futuro, que ya debería ser presente, pasa claramente por la
implantación de tecnologías proactivas capaces de ofrecer al usuario
sistemas de protección contra virus nuevos sin necesidad de recurrir
a continuas actualizaciones. Claro está que no es la panacea, no
acabará con la problemática de los virus, y seguirán siendo necesarias
las actualizaciones puntuales, pero la capacidad de prevención de las
soluciones antivirus aumentará drásticamente y el usuario dejará de
tener la sensación de indefensión total durante las primeras horas
de propagación de un virus nuevo.

Las buenas noticias son que algunas casas antivirus, bien por
exigencias del mercado, bien por convencimiento propio o como ventaja
competitiva, ya comienzan a implantar funcionalidades proactivas que
van más allá del antivirus tradicional que todos conocemos.

Volviendo al títular que nos ocupa, el problema es que estas nuevas
tecnologías no son evaluadas por las certificaciones actuales, cuyas
metodologías sólo se centran en la detección a nivel de código. El
resultado es que hoy día algunos productos antivirus pueden llegar
a ser incluso penalizados en este tipo de evaluaciones, cuando en
realidad el nivel de protección que ofrecen es muy superior al de
otras soluciones que simplemente, al igual que las certificaciones,
se han quedado ancladas en el pasado.



Bernardo Quintero

bernardo@hispasec.com


Más información:

ICSA labs - Current certification criteria
http://www.icsalabs.com/html/communities/antivirus/certification.shtml

Complete List of ICSA Certified Anti-Virus Products
http://www.icsalabs.com/html/communities/antivirus/certifiedproducts.shtml

Checkmark AntiVirus Level 1
http://www.check-mark.com/checkmark/cm_av1.html

Checkmark Antivirus Level 2
http://www.check-mark.com/checkmark/cm_av2.html

Checkmark Trojan
http://www.check-mark.com/checkmark/cm_trc1.html

VB 100% Award
http://www.virusbtn.com/vb100/about/index.xml

e-Gallaecia
http://www.e-gallaecia.com/