El mundo de antivirus

lunes, 31 de octubre de 2016

Un antivirus consiste en muchos componentes. Un análisis directo de la «nocividad de programas» lo puede realizar el núcleo antivirus (donde se transfieren las solicitudes de varios componentes), el analizador heurístico (que controla el funcionamiento de programas a base de modelo de su comportamiento), los mecanismos en la nube (a base de las estadísticas de clientes sobre el funcionamiento de programas) etc.

Supongamos que algún programa empezó a escanear los datos de usuarios o inició un escaneo masivo de los archivos. ¿Qué es – un espía o un programa de control de filtración de la información? ¿Un cifrador o un sistema de cifrado de los datos personales?

¿Cómo se puede saber si un programa es legítimo o nocivo?

Los analistas antivirus y los ingenieros de software tienen mucha responsabilidad. Si un antivirus considera como nocivo el archivo de un programa que no se usa mucho o no es crítico, no pasa nada: el usuario puede continuar trabajando, al añadir el programa a las excepciones, al restaurarlo de la Cuarentena o al responder correctamente a la solicitud del antivirus sobre la aparición de un programa nocivo.

Es peor si un antivirus considera nocivos los componentes del sistema operativo o sus propios (ya encontramos muchas veces los ejemplos similares). En este caso, el equipo puede dejar de funcionar completamente. ¡Imagine si eso les pasa, por ejemplo, a la mitad de todos los equipos en China!

¿Cuál es la causa de los falsos positivos del antivirus?

Hay varias razones.

• Un número creciente de los archivos nocivos no permite dedicar mucho tiempo al análisis de los mismos (excepto la investigación del dispositivo y comportamiento). Por eso se usan los mecanismos heurísticos – unos procedimientos específicos que valoran el nivel de peligro de los archivos a base del conocimiento sobre algún tipo de programas nocivos. Una entrada del mecanismo heurístico puede detectar miles de programas nocivos. Pero durante el desarrollo de mecanismos heurísticos, los desarrolladores afrontan varios peligros:
  • El funcionamiento de un heurístico demasiado sospechoso puede causar los falsos positivos — si en el programa analizado hay algunos fragmentos del código que son peculiaridades de programas nocivos.
  • Es fácil esquivar un heurístico “prudente”. Normalmente antes de empezar la difusión de un programa nocivo, los desarrolladores lo escanean para ver si se detecta por las soluciones antivirus más populares. Como resultado, al cambiar el código, el programa nocivo se hace «invisible» para el antivirus.
• La necesidad de la emisión más rápida de actualizaciones (los usuarios esperan) también restringe el periodo de desarrollo de «remedios» y pruebas. Por supuesto, los test se automatizan, el número de configuraciones escaneadas crece constantemente, pero nunca se puede afrontarlo todo.
• Actualizaciones de programas legítimos. Los usuarios no siempre actualizan el software de forma operativa, y, al mismo tiempo, las nuevas versiones del software forman parte de los conjuntos de pruebas.

Los usuarios también se equivocan. Muchas veces, cuando un antivirus nos ofrece tomar la decisión sobre algún programa, no decidimos bien. Lamentablemente, los desarrolladores de software que crearon un programa sospechoso han podido incluir no solo funciones útiles sino también las nocivas en el mismo, de cualquier tipo. Las actualizaciones de software que causaban el daño de los datos se producían más de una vez. Por supuesto, no a propósito, pero algunas veces no es así, cuando los autores de programas vuelven a empaquetar los programas legítimos y difunden sus “obras” como si no fueran nocivos.