En plena oleada de gusanos informáticos son más evidentes los
problemas que originan, como efecto colateral, algunas características
de las soluciones antivirus. Aunque no dejan de ser incidentes que en
teoría no afectan de forma directa a la seguridad del sistema, la
realidad es que pueden desembocar en todo tipo de situaciones.
Uno de los problemas más comunes son los avisos que originan algunas
soluciones antivirus para alertar y avisar a los remitentes de los
mensajes infectados. En un principio podía considerarse una función
útil, pero hace ya tiempo que la mayoría de los gusanos falsean la
dirección de remite cuando se propagan. El resultado es que estas
soluciones antivirus envían un mensaje alertando a una dirección de
correo que en realidad no ha enviado el virus.
Muchos de nosotros habremos recibido algún que otro mensaje
avisándonos de que hemos enviado un virus y estamos infectados,
cuando en realidad lo único que ha sucedido es que el gusano ha
enviado desde otro ordenador infectado, que nada tiene que ver con
nosotros, un mensaje con nuestro e-mail como remite falseado.
A partir de aquí se originan situaciones para todos los gustos.
Desde aquellos usuarios que se creen el aviso y optan por apagar el
sistema y buscar ayuda, hasta aquellos que escriben al destinatario
para recomendarle que cambie de solución antivirus y que deje de
alertar a los usuarios.
Además, por si no fuera poco con el spam y los propios gusanos,
hemos de soportar el tráfico de esta nueva plaga de mensajes no
deseados, que bien podríamos considerar también spam, no en vano
los avisos suelen incluir el nombre del antivirus y un enlace.
Primero te dicen que estás infectado, y luego te envían a la
herramienta que lo detecta y desinfecta, no hay publicidad más
directa.
La solución más simple pasa por que las soluciones antivirus no
contemplen la funcionalidad de aviso a los remitentes de mensajes
infectados. Otra opción, más elegante, y que permite mantener la
utilidad de las notificaciones, es que los antivirus no realicen
el aviso de forma indiscriminada, como hasta ahora, sino que sólo
lo hagan en el caso de virus, troyanos, o gusanos que no realizan
la falsificación del remitente, algo muy fácil para ellos, ya que
les basta con incluir una simple marca en las firmas de detección
para reconocer en que casos no deben avisar.
Otro de los efectos colaterales más comunes se detecta en aquellas
soluciones antivirus de servidor de correo que desinfectan el
archivo adjunto infectado pero que dejan pasar el mensaje del
gusano, a veces con parte de los archivos adjuntos incluido. Son
muchos los usuarios que se alertan al recibir este tipo de mensaje,
ya que creen que se trata de mensajes infectados, y reclaman a los
administradores de sistemas.
Como anécdota, una importante organización ha enviado recientemente
un comunicado a todos sus usuarios avisándoles que los mensajes
en inglés que reciben ya han sido desinfectados, en un intento de
tranquilizarlos y evitar las continuas alarmas. La realidad es que
la solución puede ser peor que el problema, ¿qué ocurrirá cuando
de verdad se les cuele un gusano por el antivirus perimetral? ¿los
usuarios creerán que es inofensivo porque ya ha sido desinfectado?
De nuevo la solución está en manos de las casas antivirus, ya que
es muy fácil mantener una lista o una marca en las firmas de virus
para reconocer los gusanos “puros”, especímenes que crean todo
el mensaje y se autoenvían. En estos casos de gusanos “puros” la
solución antivirus debería eliminar por completo, tanto el archivo
adjunto como el mensaje, y que el usuario (destinatario) no reciba
absolutamente nada, evitando cualquier tipo de confusión y un
tráfico totalmente innecesario.
bernardo@hispasec.com
Deja un comentario