El mundo de antivirus

viernes, 18 de noviembre de 2016

Muchos saben cómo funciona un antivirus – todos habrán oído algo sobre las firmas, el analizador heurístico etc. También muchos conocen el concepto “antispam”. Pero ¿cómo funciona este componente de protección?

Primero, el trabajo de spammers no es igual al trabajo de los creadores de virus. Si los últimos necesitan crear un programa distinto a todos los programas sobre los cuales hay información en las bases de virus y en las reglas de analizador heurístico, la tarea de spammers es crear un mensaje similar a los mensajes de confianza. Así mismo, si se puede restringir la recepción de programas nocivos en un PC, usando un listado de procesos permitidos, para mensajes no es posible hacerlo por razones obvias (aunque para algunos tipos de empleados se puede restringir la recepción de mensajes desde dominios determinados).

Por supuesto, visualmente la mayor parte de spam fácilmente puede ser distinguida de mensajes legales, pero si nos equivocamos al distinguir una notificación de multa de verdad de una falsificación, ¿cómo podría hacerlo un programa cuyas posibilidades son muy inferiores a las de nuestro cerebro?

El método más fácil (y, así mismo, el más difundido) usado en antispam son las sumas difusas bayesianas. Para todos los mensajes, usando las fórmulas especiales, se calcula una suma de control determinada que se compara a las sumas en la base de datos de antispam. El método es fácil – y en esto radica su ventaja, pero también hay muchas desventajas.

La desventaja más importante es que usando este método, no es posible filtrar la mayor parte del spam. Por lo tanto, es necesario usar otro métodos de filtrado adicionales. Ya hablaremos de ellos.

Segundo – la necesidad de constante formación. Como la base de antispam consiste en sumas de comprobación de las muestras de spam en concreto, para el filtrado eficaz hay que añadir constantemente las nuevas muestras de mensajes no deseados. Este método requiere formación constante y/o las actualizaciones frecuentes. Como consecuencia, es difícil trabajar en las redes sin Internet donde las actualizaciones frecuentes no son posibles por razones obvias.

Tercero – el spam gráfico. Todos hemos notado cuánto spam se recibe en imágenes. Para imágenes no se puede usar las sumas de comprobación, por lo tanto, el antispam que usa solamente las listas bayesianas, omitirá estos mensajes.

Como vemos, el método bayesiano requiere el uso de los métodos de filtrado adicionales. El más usando es DNDBL. Son listados de direcciones de correo/dominios desde los cuales se detectó la difusión de spam, es decir, un análogo completo de las listas blancas/negras de direcciones de correo disponibles para la edición en Dr.Web Secutity Space, pero que se edita en algún servicio en Internet. Es una cosa bastante potente, pero hay desventajas... Los servicios de las bases DNDBL no tienen nada que ver con los productores de antispam. Por lo tanto, la calidad de estas listas no se controla por el productor de antispam de ninguna forma – y así el usuario encuentra algo muy inesperado “debajo del capó”. Las bases se completan cuando los usuarios contactan a los dueños del servicio o si spam penetra en sus trampas. Pero, como sabemos, se puede falsificar los datos del remitente, O Vd. mismo puede ser remitente de spam sin querer. Es posible que cuando Vd. no pueda recibir mensajes de algún remitente desconocido, porque el mismo está en la lista negra, pero este remitente no lo sabe y usa otro antispam. Y, a propósito, la eliminación de las bases DNDBL frecuentemente es de pago, porque sus administradores necesitan vivir de algo.

En otras ediciones hablaremos de enfoques alternativos al filtrado de spam.