lunes, 8 de febrero de 2010

Desconfianza antivirus

Citando a Fito y Fitipaldis "no es porque digas la verdad, es porque nunca me has mentido", la razón por la que confío en ti. Aunque en principio la frase pueda parecer un tanto redundante, la diferencia es más que sutil. Algo parecido está ocurriendo estos días en la industria antivirus tras la publicación de unas pruebas llevadas a cabo por Kaspersky, donde demostrarían que otros motores antivirus "copian" sus resultados.

Nada nuevo bajo el sol. Como ya hemos comentado con anterioridad en una-al-dia, y es bien conocido dentro de la industria antivirus, los laboratorios se vigilan entre sí y tienen en cuenta los resultados de la competencia durante sus análisis. Normal y lógico. El problema viene dado cuando se dejan llevar en exceso por los resultados de terceros, especialmente en el caso de los falsos positivos (cuando alguien por error detecta como malware un software legítimo y el resto le sigue).

Kaspersky ha querido ir un paso más allá en esta problemática y presentó a los medios una prueba de concepto realizada para la ocasión. Básicamente, generó unos ejecutables inofensivos y los incluyó en su base de firmas para detectarlos como si fueran malware. A continuación los envió a VirusTotal esperando que fueran distribuidos y esperó la reacción del resto de laboratorios antivirus. El resultado es que algunos motores comenzaron a incluir también firmas para detectar esos ficheros como malware.

Esta prueba de concepto ha sido motivo de discusión entre la propia industria antivirus, algunos ven una campaña de marketing y desprestigio a la competencia, otros una interesante demostración y toque de atención sobre esta problemática.

Por un lado comprendo el cansancio de cualquiera que vea cómo terceros se aprovechan de su trabajo sin aparentemente aportar nada a cambio. Por otro lado, con la que está cayendo, parece necesario que exista cierta colaboración entre antivirus para hacer frente a la avalancha de malware, ésta es una guerra que no puede ganar ningún laboratorio de forma individual.

El posible efecto no deseado de la prueba de concepto de Kaspersky podría ser que creara desconfianza entre los propios laboratorios antivirus, que nadie se fíe de las detecciones del resto, con lo que finalmente ganan los malos y perdemos los usuarios.

Como en muchos otros aspectos de la vida, la virtud suele estar en un punto intermedio. No parece ético que un antivirus se alimente de las detecciones de terceros sin contar con recursos propios que le permita discernir entre lo que es malware y lo que, a todas luces, no lo es.

Lo lógico sería que las detecciones de terceros puedan ser un indicador más que los laboratorios pueden tener en cuenta en sus algoritmos para priorizar el estudio de muestras o como una variable más dentro de sus procesos para determinar si un fichero es malware o no, pero el mayor peso de esa decisión debería residir en recursos propios.

Si todos los antivirus invirtieran sus esfuerzos en desarrollar tecnología propia, según sus posibilidades, y evitaran las prácticas de copia directa, se fomentaría un entorno de colaboración y confianza dentro de la propia industria antivirus que a día de hoy es, sencillamente, necesario.

No está en juego sólo la confianza entre antivirus, sino en todo un modelo de protección. La industria antivirus debería ser más corporativista y no ser tan cortoplazista en la búsqueda de resultados, deberían trabajar en mejorar los resultados globales y la percepción del público. El problema no es que la marca X o el producto Y no detecte un malware, sino que el usuario empieza a desconfiar de la capacidad de cualquier antivirus para afrontar el problema actual.


Bernardo Quintero
bquintero@hispasec.com


Más información:

Rumorología antivirus
http://www.hispasec.com/unaaldia/4013

On the way to better testing
http://www.viruslist.com/en/weblog?weblogid=208188011

Tests Show Problems With AV Detections
http://blogs.pcmag.com/securitywatch/2010/02/sw_tests_show_problems_with_av.php

On the Trustworthiness of the AV Industry and AV Tests
http://blog.trendmicro.com/?p=21566

Kaspersky, Virus Total, and Unacceptable Shortcuts
http://www.eset.com/threat-center/blog/2010/02/02/kaspersky-virus-total-and-unacceptable-shortcuts

No hay comentarios:

Publicar un comentario en la entrada