martes, 17 de agosto de 2010

Novedades en VirusTotal

Hace algo más de seis años se presentaba VirusTotal (http://www.virustotal.com) en la IV Semana Internacional de las TIC del Foro E-Gallaecia. Para aquellos que no lo conocen, VirusTotal es un analizador online multi-antivirus desarrollado por Hispasec Sistemas.

Lo que pronto se convertiría en la pequeña bestia de Hispasec nacía como una herramienta pública destinada a ayudar a la comunidad ofreciendo a los usuarios más cautos una segunda opinión sobre un determinado fichero.

VirusTotal llegaba a este mundo como una única máquina y en tiempos en que el enfoque Ajax aun no existía el soporte web era más que curioso, las muestras recibidas se reenviaban por correo electrónico al analizador y los resultados se mostraban mediante un refresco de página. A lo largo de estos seis años el proyecto ha crecido a un sistema distribuido con un clúster de máquinas. Donde antes se recibían cien ficheros al día ahora se recibe una media diaria de 150.000 archivos; y lo que un día fueron cerca de 4 minutos por análisis hoy ronda los 30 segundos con 42 antivirus.

Personalmente, yo conocí VirusTotal de Erasmus en Francia, trabajaba en un proyecto de la universidad (Insitut Eurecom-Telecom Paris) relacionado con honeypots y malware y Julio Canto y Francisco Santos pusieron los medios (de forma totalmente altruista) para que pudiera integrar el sistema de recolección de ficheros maliciosos con VirusTotal. Esto es el reflejo de otra de las consecuciones del proyecto, se ha vuelto muy popular entre universidades, centros de investigación, CERTs, agencias gubernamentales y la industria de la seguridad en general.

Durante todo este tiempo se ha tratado de mejorar tanto las tripas de VirusTotal como su apariencia, siempre buscando mejorar la experiencia de la comunidad. Y este es precisamente el motivo de la serie de noticias que comienza con este ejemplar, el rediseño y la ampliación de funcionalidad del portal web público de VirusTotal.

Se trata de muchas mejoras de golpe, con lo cual no esperamos que la transición se produzca sin fallos ni errores, pero confiamos en que la comunidad nos ayude a mejorar los cambios que publicamos. Las novedades incluyen:

* Nuevo servicio de escaneo de URLs: se emplean diversos motores de análisis de páginas web para comprobar la maliciosidad de estas, además la respuesta del servidor al solicitar dicha web se procesa con el escáner tradicional de ficheros de VirusTotal.

* VirusTotal Community: ahora todos los ficheros y URLs enviadas se pueden comentar, con un poco de suerte esto ayudará a detectar falsos negativos y falsos positivos y a identificar el origen del malware enviado. Cada usuario puede crear su propio perfil para comentar, además su perfil incluye un muro parecido al de Facebook y un sistema de contactos similar al de Twitter que sirve para crear niveles de reputación.

* API pública: se trata de un sencillo sistema de peticiones HTTP y respuestas JSON mediante el cual se pueden consultar los análisis de URLs y ficheros, enviar URLs y ficheros y hacer comentarios sobre estos.

* Nuevas estadísticas: hemos mejorado la sección de estadísticas de tal forma que los usuarios ahora sabrán algo más sobre la naturaleza y la cantidad de ficheros recibidos en VirusTotal.

* Nuevo sistema de búsqueda: ahora se pueden buscar no sólo los hashes ya escaneados, sino también usuarios de la comunidad, URLs escaneadas y, lo más interesante, tags sobre archivos y muestras que haya introducido la propia comunidad.

* Extensión para Firefox: se ha desarrollado una extensión para el navegador Mozilla Firefox que permite analizar enlaces con tan sólo un click derecho de ratón, escanear ficheros previa descarga por el navegador y consultar hashes y URLs en la base de datos de VirusTotal con una sencilla barra de herramientas.

Implementar todos estos cambios no ha sido una labor fácil, hemos pasado de un enfoque estático a un enfoque dinámico con uso intensivo de sesiones y un sistema de autenticación y autorización. En el camino hemos encontrado importantes cuellos de botella: demasiadas conexiones con la base de datos, excesiva CPU consumida en renderización de plantillas, problemas intrínsecos al framework de desarrollo web empleado, etc. Esto nos ha hecho comprender mejor la clase de problemas de escalabilidad a la que se enfrentan todos los días los gigantes de la web, así que desde aquí queremos dar la enhorabuena a los equipos técnicos de sitios como Tuenti, Facebook, Google, etc.

Esperamos que todos estos cambios agraden a los usuarios de VirusTotal y, por supuesto, estamos abiertos a todo tipo de sugerencias que nos podéis hacer llegar a través del formulario de contacto que se encuentra enlazado en el pie de http://www.virustotal.com. En futuras Una-al-día comentaremos con más detalle cómo utilizar algunas de las nuevas funcionalidades integradas.


Emiliano Martínez
emartinez@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada