Debilidades en los antivirus por Ignacio M.

Sbampato(*) - 25 de Febrero del 2001 Lo que sucedi recientemente con el virus VBS/SST, ms conocido como AnnaKournikova, confirm algunas cosas que los ex ertos en seguridad informtica vienen redicando tiem o atrs! Los usuarios todav"a no #acen caso a las recomendaciones so$re no a$rir arc#ivos ad%untos no solicitados& 'ualquier ersona, con conocimientos de rogramacin o no, uede llegar a crear un virus o gusano ca a( de sacudir tanto a grandes em resas como a usuarios #ogare)os alrededor de todo el mundo& *o todos los antivirus utili(an motores #eur"sticos confia$les, aunque digan lo contrario, + muc#os de ellos no son ca aces de detectar virus fa$ricados con el mismo generador automtico cu+as creaciones tienen, o$viamente, ciertos atrones comunes& ,ado que el o$%eto de este art"culo es denotar las de$ilidades en los antivirus actuales, slo nos referiremos a este -ltimo unto& .uienes nos dedicamos a la investigacin antivirus #emos odido com ro$ar que algunas #erramientas fueron ca aces de detectar el virus Kournikova sin necesidad de ser actuali(ados& /sto se de$e a que los la$oratorios que desarrollan las actuali(aciones ara dic#os antivirus +a #a$"an agregado una firma o algoritmo ca a( de descu$rir este virus antes de su creacin& 0'mo es esto osi$le1 uede ser la regunta que en estos momentos cruce or su mente, + cu+a res uesta es uno de los untos centrales de este art"culo& ,ado que este virus, como otros que #an sido descu$iertos 2in3t#e34ild2 5 &e& 6orm&Lee alias Vanina, + otras variantes de 7ste8, fueron creados or el VBS 6orm 9enerator, una #erramienta ca a( de generar gusanos de VBScri t siguiendo una serie de sim les asos + #aciendo click unas ocas veces con el mouse, estos antivirus desarrollaron algoritmos ara detectar todos 5o la ma+or"a8 de los virus que udieran ser creados con esta #erramienta& ,e esta manera, si un nuevo virus es fa$ricado con el VBS69 5las siglas de VBS 6orm 9enerator8, estos antivirus, utili(ando sus motores #eur"sticos de deteccin, son ca aces de detectarlo, sin necesidad de actuali(ar sus definiciones, dado que los mismos contienen ciertos atrones $sicos, iguales en todas las creaciones de esta #erramienta, que #acen que los antivirus con esta ca acidad uedan descu$rirlos& :ara quienes #asta el momento no entendieron lo que es un motor #eur"stico, odr"a decirse que son una serie de algoritmos o rutinas que ermiten a los antivirus detectar nuevos virus $asados en ciertos atrones sin la necesidad de que el virus en cuestin se encuentre registrado en su $ase de firmas& 'asi todas las grandes com a)"as dicen que sus roductos oseen esta caracter"sticas, ero udo com ro$arse con este -ltimo incidente, que esto no es verdad& Bernardo .uintero, arte del staff de ;is aSec, una em resa de seguridad es a)ola que $rinda un mu+ com leto $olet"n diario de informacin a sus suscri tores, desarroll un art"culo tras la a aricin del virus Kournikova, en el que toca$a $revemente este tema, e informa$a a sus lectores de cuales eran los antivirus que od"an detectar este virus sin necesidad de actuali(arse + cuales no, lo cual detallamos a continuacin! Antivirus que lo detectaron sin realizar una actualizacin: AV:/Kas ersk+, <3Secure, =cAfee, + :c'illin& Antivirus que no detectaron el virus hasta haber sido actualizados: *orman, *orton, :anda + So #os& /n esta lista no se encuentran todos los antivirus dis oni$les actualmente en el mercado, ero s" son los ms conocidos& A los resultados ex resados or Bernardo .uintero en su $olet"n, odemos agregar, seg-n nuestra ro ia ex eriencia, que el antivirus *>,?@ fue ca a( de detectar el virus sin necesidad de actuali(arlo, + lo ro io #i(o el <3:rot& 'omo el 'SAV 5'ommand Soft4are Antivirus8 se $asa en 7ste -ltimo, odemos inferir que el mismo tam$i7n es ca a( de detectarlo sin necesidad de ser actuali(ado, ero no #emos odido com ro$arlo& /s extra)o ver que el *orman Antivirus, cu+o fa$ricante com r #ace tiem o el TBAV, uno de los antivirus ms conocidos #ace tiem o, + que ose"a un motor #eur"stico im$ati$le, #a+a sido inca a( de detectar el virus& :arece ser que *orman, en lugar de agregar la me%or funcionalidad del TBAV a su roducto, la #a de%ado de lado& :ero, retomando el o$%etivo rinci al de este art"culo, este incidente nos demuestra que no todos los antivirus reali(an las acciones que romocionan, $rindando una falsa roteccin a sus usuarios, + que el actual m7todo que utili(an los mismos ara la deteccin de virus es o$soleto, + or lo tanto, d7$il& 'on lo r ido que actualmente se distri$u+en los virus informticos, que un antivirus no detecte los mismos #asta no reci$ir un e%em lo de ellos, el mismo sea anali(ado, + una actuali(acin sea desarrollada, un roceso que toma varias #oras, demuestra lo d7$il del conce to

que muc#os de estos roductos utili(an ara la deteccin de virus& /n el transcurso entre que el virus comien(a a infectar + todos los antivirus son detectados, muc#os usuarios ueden #a$er sido infectados, + #a$er sufrido los efectos del virus, que en este caso en articular, el del Kournikova, son nulos, ero odr"an #a$er sido eores, sin que el roducto que utili(an ara defenderse de ellos se #a+a dado cuenta de ello& A esto no es un ro$lema in#erente slo a los antivirus que en esta ocasin no detectaron el virus, dado que en otros incidentes, ning-n antivirus fue ca a( de detectarlo antes de ser actuali(ado, como as con el conocido BL>V/A>C& /ste m7todo de deteccin, de endiente de la actuali(acin de sus definiciones, es uno de los rinci ales untos d7$iles de las tecnolog"as antivirus actuales + de$er"an ser evaluadas otras osi$ilidades de roteccin antivirus, como rogramas de deteccin roactivos 5Surfin9uard, SafeT*et8, otras de las tantas ideas que los ex ertos inde endientes iden d"a a d"a& Compresin de archivos >tro de los untos d7$iles de los antivirus es cuando se enfrentan a los com resores de arc#ivos& /xisten #erramientas como el *eoLite, :/3'r+ t, + AS:ack, entre muc#os otros, que ermiten com rimir un arc#ivo e%ecuta$le 5&exe, &com, etc&8 ara reducir su tama)o +, adems, encri tar el mismo, ara que su cdigo, a sim le vista, sea com letamente distinto al original& :ara ex licar los ro$lemas que tienen los antivirus frente a estas #erramientas, vamos a comentar un caso concreto& ,esde Se tiem$re de DEEE #asta mediados del a)o asado, el virus 6orm&:rett+:ark era una fi%a en los re ortes de nuestros usuarios& /l mismo se trata$a de un gusano que llega$a or correo electrnico como un arc#ivo rett+ ark&exe que si era e%ecutado, se instala$a en el sistema + se reenvia$a a toda la Li$reta de ,irecciones local& 'omo siem re, los antivirus lo agregaron a su $ase de firmas, + a artir de all" lo detectaron& :ero, a mediados de <e$rero del @FFF, una nueva versin de este virus comen( a distri$uirse, cu+a -nica diferencia con la anterior, era que esta$a encri tada con una de estas #erramientas de com resin, lo que logr $urlar a los antivirus, que detecta$an el virus, ero no od"an detectarlo encri tado& Los mismos tuvieron que agregar una nueva firma o algoritmo a sus $ases, + reci7n a artir de all" comen(aron a detectarlo& *ing-n antivirus de los que ro$amos en ese momento fue ca a( de detectar la versin encri tada del :rett+:ark sin ser actuali(ado, lo mismo as con el virus 6?@//x loreGi , + con otros que fueron creados + luego redistri$uidos com rimidos con alguna de estas #erramientas& :ara aquellos que no entendieron a que me refer"a con com resin de arc#ivos, un e%em lo com-n de una #erramienta de estas es el 6inGi & /s claro que esto es otro im ortante unto d7$il de los antivirus orque ni siquiera es necesario cam$iar una sola l"nea de cdigo ara $urlarlos, $asta con com rimir el virus con alguna otra #erramienta de com resin, + el mismo asar desa erci$ido #asta que los antivirus sean actuali(ados nuevamente& /l antivirus AV:/Kas ersk+ so orta a#ora distintas #erramientas de com resin a fin de que esto no suceda, cu+a funcin #emos odido ro$ar con 7xito, ero no todos los antivirus #an incor orado este ti o de funcionalidad, or lo que el ro$lema sigue en ie, #asta que los desarrolladores de antivirus cam$ien sus roductos ara so ortar este ti o de algoritmos de com resin de arc#ivos& Aunque existen otros untos d7$iles en los rogramas antivirus, como ro$lemas de com ati$ilidad con otros soft4ares, falsos ositivos, falsos negativos, etc&, estos son los que nos arecen los ms im ortantes& A continuacin, trataremos dos untos en articular ms relacionados con las de$ilidades en los antivirus cor orativos& Filtrado de mensajes /xisten actualmente numerosos antivirus + #erramientas que ermiten el filtrado de mensa%es de correo electrnico, seg-n su contenido, a nivel servidor& Si un mensa%e es enviado a una cuenta alo%ada en un servidor que osee este ti o de rograma, el mismo es anali(ado +, si res onde a ciertas reglas, no se lo de%a seguir& /ste ti o de #erramientas oseen una cantidad de reglas or defecto en la ma+or"a de los casos, res ondiendo a los ms conocidos virus, + ermiten a los administradores agregar nuevas reglas de filtrado, funcionalidad mu+ interesante + -til a nivel seguridad& /l ro$lema existe en que no siem re filtran slo mensa%es que contienen virus& :or e%em lo, es normal que en nuestros art"culos descri$amos o nom$remos virus tales como ;+$ris, BL>V/A>C, LoveLetter, + dems, que nunca llegarn a nuestros lectores, orque dic#as ala$ras son filtradas or estos antivirus a nivel servidor& Sucede que, en lugar de utili(ar reglas avan(adas, se $asan en sim les controles de contenido, en los que, si alguna ala$ra o gru o de ala$ras se encuentran en un mensa%e que es anali(ado, el mismo no ser reenviado al usuario %ams, aunque sea un sim le mensa%e en texto lano, que %ams odr causar ning-n da)o& Lo $ueno ser"a que este ti o de #erramientas controlarn los mensa%es a un nivel ms avan(ado, c#equeando que no slo contengan un gru o de ala$ras ara ser filtrados, sino que tam$i7n contengan un arc#ivo ad%unto o vengan en formato ;T=L&

Hecientemente, Bruce Sc#neier, editor del $olet"n 'r+ to39ram, escri$i un eque)o art"culo 2/3mail <ilter Bdioc+2 en el que comenta$a un ro$lema que #a$"a tenido con ciertos servidores al enviar una entrega de su $olet"n que conten"a la ala$ra BL>V/A>C& /l $olet"n de Sc#neier se envia en texto lano or lo que %ams odr contener un virus, dado que ni siquiera se envian arc#ivos ad%untos con este $olet"n [Nota de Video So t! lo mi"mo oc#rre con n#e"tro bolet$n VS%nti&ir#"'& Lo mismo nos viene sucediendo desde que tra$a%amos en la seccin =undo Virus del $olet"n es a)ol Kri to olis, dado que fueron filtrados ediciones de 7ste en el que se #acia referencia a los virus BL>V/A>C o ;+$ris& /ste es otro claro unto d7$il en la roteccin antivirus, inclu+endo que, si el usuario est suscri to a un $olet"n de seguridad o si un conocido desea enviarle un alerta so$re un virus que 7ste circulando, los cuales contengan S>L> texto que sea filtrado or las reglas de su servidor, nunca lo reci$ir, siendo 7ste adems de un ro$lema ara los antivirus, un ro$lema ara el usuario que conf"a en reci$ir informacin actuali(ada so$re temas de 7ste ti o& Y algunas reflexiones al respecto: Los servidores que filtran los mensa%es or la ala$ra ;+$ris, nunca lograrn detener este virus de esta forma& 0:or qu71 :orque la ala$ra ;+$ris slo se encuentra dentro del cdigo del rograma en el que via%a el virus, + ni el asunto del mensa%e, ni el contenido del mensa%e, ni el nom$re del arc#ivo la contienen, + estas #erramientas slo ueden filtrar or texto en dic#os com onentes del mensa%e& Cna defensa contra nada + sin sentido, 0no1 Si el virus cam$ia el nom$re del arc#ivo en el que se env"a, o cam$ia su asunto o contenido, estas rotecciones son, si me ermiten decirlo, com letamente in-tiles& =uc#os se reocu an de a licar estos filtros, muc#as veces sin sentido como en el caso antes mencionado, ero a-n no eliminan a nivel servidor los mensa%es que reci$en con arc#ivos de do$le extensin, del ti o &I:9&VBS, &9B<&VBS, =:?&VBS, o similar, que son virus en el EE&EEEEEEEEEEEEEJ de los casos& /sto es una clara falta de este ti o de #erramientas + sus administradores& :or -ltimo nos referiremos a los antivirus cor orativos de administracin centrali(ada, los cuales tienen ms de un unto d7$il& Antivirus de Administracin Centralizada /xisten muc#as soluciones antivirus que tra$a%an de modo centrali(ado& :oseen un com onente servidor, que se instala en un servidor de la red interna, + com onentes clientes en cada una de las estaciones de tra$a%o, que son administrados, + actuali(ados, or el com onente servidor en forma automtica& /ste ti o de #erramientas se actuali(an en forma centrali(ada a trav7s del servidor, el cual luego actuali(a las estaciones de tra$a%o a trav7s de la red, a$riendo alg-n uerto T':/B:& Se #an descu$ierto gran cantidad de agu%eros de seguridad en esta o eracin, dado que estos antivirus no estn desarrollados correctamente ara reali(ar este roceso, de$ido a que tienen $uffers no c#equeados, + ocas medidas de seguridad, cuestiones que los #acen vulnera$les& Adems de este notorio unto d7$il, se #an descu$ierto otros ro$lemas en estos antivirus& Tal es el caso del >fficeScan de Trend =icro Bnc&, el cual, seg-n se #a re ortado recientemente, en algunos casos, no detecta un virus #asta que el mismo termin su e%ecucin + desinfect el sistema& /ste ro$lema se encuentra en el cliente del >fficeScan, el cual no es el :c'illin 5a licacin que funciona erfectamente8 +, aunque +a se anunci que el ro$lema ser arreglado a la $revedad, es otro de los untos d7$iles que estas a licaciones tienen& Conclusin /ste art"culo no $usca des restigiar a los antivirus, ni decir que los mismos son com letamente in-tiles& Tan slo intenta demostrar que los antivirus como los conocemos actualmente tienen varios untos d7$iles que de$en me%orar a fin de $rindar realmente esa roteccin im$ati$le contra los virus que tanto romocionan ero que no siem re cum len& :ese a esto, son la defensa recomendada or nosotros a la #ora de rotegerse contra los virus, ero no se de$e creer que ara estar li$re de infecciones $asta con slo un antivirus& /s necesario que los usuarios entiendan que, adems de mantener actuali(ados los antivirus + de oseer uno, de$en utili(ar de forma segura su ordenador, no a$riendo arc#ivos no solicitados, como una de las rimeras defensas contra los virus, adems de los antivirus, adems de todos los conse%os que normalmente damos& (*) Ignacio M. Sbampato e" el (ebMa"ter ) *e"pon"able de +ontenido" de Vir#" %ttac,- ) e" *edactor de Noticia" relacionada" con &ir#" in orm.tico" ) "eg#ridad de /a"Noticias.Org