El mundo de antivirus

martes 17 de julio de 2018

¿Sabe Vd. cómo frecuentemente se eligen antivirus en varias empresas?

¿Vd. piensa que lo hacen a base de los resultados de pruebas y compran el producto que ganó en la mayoría de ellas? Así actúan los usuarios de hogar y las empresas muy pequeñas.

¿O se hacen pruebas de productos de varios productores? Este enfoque se aplica en las empresas muy responsables, y no son muchas.

Vd. no lo va a creer, pero en la mayoría de las empresas un antivirus se elige “por casillas”. Y no culpamos a nuestros usuarios de eso: tienen impuesto este modelo de selección.

Cada experto en seguridad desea saber qué puede hacer algún antivirus. Pero le da pereza organizar la plataforma de pruebas, crear tareas de pruebas, comparar los resultados… y ¿cómo hacer pruebas de productos que solo a primera vista son iguales? “Voy a pedirle al vendedor una tabla comparativa de funcionalidad y por el número de casillas decido qué antivirus protegerá mejor a la empresa”. ¿Vd. dirá que eso no tiene sentido? Pero es lo que ocurre desde hace años.

Vamos a hablar de casillas otra vez. Una de las casillas que no favorecen a Dr.Web, — es que en nuestros productos para Windows no hay Escáner de vulnerabilidades.

¿Por qué no hay escáner de vulnerabilidades en los productos Dr.Web para Windows?

Primero, porque existen varios tipos de escáneres de vulnerabilidades.

Un escáner de vulnerabilidades es un producto especial para escanear aplicaciones instaladas en los equipos y servidores. Permite encontrar las vulnerabilidades conocidas– las desventajas del código informático de las aplicaciones usadas que permiten a los malintencionados penetrar en los equipos y realizar varias tareas en los mismos.

El escáner de vulnerabilidades no protege contra lo desconocido. Es así tanto en casos de escáneres completos como en caso de componentes correspondientes de productos antivirus.

La búsqueda de vulnerabilidades se realiza a través de la base – un conjunto de errores conocidos del código informático, así como los modos de corrección de las mismas. Los escáneres de vulnerabilidades no solo comprueban si hay errores, sino también detectan si estos errores han sido corregidos correctamente.

Además, los escáneres de vulnerabilidades pueden escanear la configuración de las aplicaciones porque a veces la configuración incorrecta (por ejemplo, la posibilidad de iniciar determinados tipos de archivos o scripts terceros) permite a los malintencionados realizar sus tareas hasta si no hay vulnerabilidades en los productos.

Además, los escáneres de vulnerabilidades de aplicaciones web son capaces de escanear scripts. En este caso la búsqueda se realiza a base de reglas basadas en la experiencia del desarrollador de análisis del software informático de aplicaciones.

Y no son todos los tipos de escáneres de vulnerabilidades. Se puede buscar errores en el código, por ejemplo, a través del análisis estático y dinámico, con métodos de fuzzing (véase la edición «¿No se puede confiar en nadie?») etc.

A diferencia de las aplicaciones especializadas, los componentes de antivirus, también llamados escáneres de vulnerabilidades, tienen menos posibilidades. La razón es obvia: los recursos. Todos sabemos que cualquier escaneo ralentiza el sistema. Y ¿si uno inicia el escáner de vulnerabilidades con bases completas del escáner “grande”?

Los escáneres de vulnerabilidades de antivirus contienen conocimiento sobre vulnerabilidades limitadas. Normalmente son las más frecuentes – las vulnerabilidades de navegadores populares, aplicaciones Adobe y sistemas de oficinas. Pero hay muchas aplicaciones, y todas pueden tener vulnerabilidades.

Los desarrolladores de Dr.Web consideran que en Windows esta funcionalidad proporciona un falso sentimiento de protección. Y es por la siguiente razón:

• Cerrar las vulnerabilidades y notificar a los usuarios de eso es la tarea de los desarrolladores de programas vulnerables.
• El escáner de vulnerabilidades por su comportamiento es similar al escáner antivirus. A diferencia de la protección antivirus continua, se inicia por programación. Lo cual significa que entre los escaneos el equipo está vulnerable.
• El escáner de vulnerabilidades conoce solo las vulnerabilidades conocidas. Y también existen las desconocidas, hasta para los desarrolladores de sistemas vulnerables. Además, las vulnerabilidades conocidas que se consideran poco importantes y no van a ser corregidas.
• El peligro no radica en las vulnerabilidades, sino en el código que se entrega al sistema a través de las mismas.
• El antivirus Dr.Web protege contra los intentos de implementar el código nocivo a través de las vulnerabilidades conocidas y desconocidas, y los intentos de usar vulnerabilidades no tienen sentido.
• Tomando en cuenta уlas posibilidades restringidas, el escáner de vulnerabilidades no proporciona seguridad (enlace a la edición «La receta principal para miles de males»).

Junto con las vulnerabilidades desconocidas, son peligrosas las situaciones cuando no es posible instalar actualizaciones por alguna razón. Y ningún escáner de vulnerabilidades podrá resolver estos problemas. Pero el antivirus podrá resolverlos. Como ya hemos mencionado, las vulnerabilidades se necesitan para entregar el software nocivo, El antivirus iniciado interceptará este software, y el malintencionado no podrá usar la vulnerabilidad. Eso pasó en caso de WannaCry: Dr.Web interceptó el troyano en el momento de ataque.