Suponga que un responsable de Recursos Humanos debe contratar un graduado de cierta carrera y se conecta con la universidad en búsqueda de perfiles. Si la universidad brinda datos de 20 alumnos, sería posible entrevistar a todos ellos y elegir el que mejor haya pasado la entrevista. Sin embargo, suponga que la universidad otorga los datos de 300 alumnos y que debe seleccionarse uno para el puesto. La capacidad de esta persona para realizar entrevistas se ha visto superada y es imposible entrevistar a todos los alumnos, por lo que debe tomar alguna decisión que le permita encontrar al candidato indicado. Esta persona, finalmente, decide entrevistar a los 20 alumnos con mejor promedio de todo el listado recibido, y luego elegir a su candidato.

Como verán en el relato, claramente el responsable de Recursos Humanos ha tomado una decisión inteligente, que le permitió resolver un problema imposible de abarcar con sus métodos clásicos de selección. Aunque muchos de ustedes no lo hayan imaginado mientras lo leían, esta persona ha tomado una decisión heurística.

Teniendo en cuenta que la evolución de las amenazas y el escenario del malware ha crecido, los métodos reactivos utilizados originalmente por los software de detección de malware ya no son suficientes para resolver el problema de una detección efectiva de códigos maliciosos. De la misma forma, los antivirus han comenzado a utilizar algoritmos heurísticos como base de la mayor parte de métodos de detección de malware proactivos.

El análisis heurístico en tecnologías antivirus,  posee un comportamiento basado en reglas para diagnosticar si un archivo es potencialmente ofensivo. El motor analítico trabaja a través de su base de reglas, comparando el contenido del archivo con criterios que indican un posible malware, y se asigna cierto puntaje cuando se localiza una semejanza. Si el puntaje iguala o supera un umbral determinado, el archivo es señalado como amenaza y
procesado de acuerdo con ello.

Si quieren conocer más sobre heurística, y cómo esta es aplicada en los software antivirus, no dejen de leer el nuevo artículo que hemos publicado, titulado Heurística Antivirus: detección proactiva de malware. Como se indica en la introducción del mismo, “el objetivo de este informe es reducir las confusiones en torno al funcionamiento de la tecnología antimalware y clarificar qué es lo que realmente debe esperarse de una protección de este tipo, particularmente aquellas que cuentan con análisis heurístico”.

Como siempre, ponemos a disposición del público nuestros papers para que puedan aprender más sobre seguridad de la información, y en esta oportunidad sobre las tecnologías antivirus y su funcionamiento. ¡Que lo disfruten!

Sebastián Bortnik
Analista de Seguridad

Promedio: 5

• Heurística de fin de semana
• Viendo la Heurística
• De comparativas, proactividad y falsos positivos

Categorias: Heurística, Informes
Dejar un comentario »

En los últimos días la industria antivirus se ha visto en un debate respecto al proceso de creación de firmas.

Antes de contar el incidente me parece oportuno repasar con los lectores qué es Virus Total: se trata de un servicio web que ofrece a los usuarios la posibilidad de subir un archivo y verificar si el mismo es detectado por una serie de programas antivirus (a la fecha, 39). Hasta aquí el uso para el usuario. Además, lo que muchos lectores desconocerán, es que Virus Total colabora con las empresas antivirus enviando los archivos nuevos recibidos a los laboratorios, para así brindar mayor seguridad a los usuarios.

Explicado el funcionamiento de Virus Total, paso a contarles el incidente ocurrido en la semana. Como indica el portal pcmag.com, una reconocida empresa antivirus (no fuimos nosotros) decidió probar a la industria, creando 20 archivos inofensivos y creando firmas para 10 de ellos. Luego, subieron todos los archivos a Virus Total.

A pesar de que los archivos eran inofensivos, diez días más tarde 14 empresas antivirus detectaban como malicioso alguno de los archivos benignos (aquí tampoco fuimos nosotros, ya que ESET no detectó ninguno de estos archivos).

Independientemente de las dudas o cuestionamientos a la empresa que realizó el experimento (o trampa, según cómo prefieran llamarlo), la realidad es que este incidente pone en duda cuáles son los métodos que están utilizando las empresas antivirus para identificar amenazas. Claramente el hecho de que un archivo “sea detectado por la empresa X” no debería ser motivo suficiente para detectar el mismo. De hecho, si así fuera un falso positivo podría propagarse rápidamente por todas las compañías antivirus.

Vale destacar que todas las compañías antivirus necesitan de procesos de detección de malware automatizados. La cantidad de muestras que se reciben en el laboratorio diariamente es imposible de ser analizada manualmente, para dar respuestas en tiempos efectivos para los usuarios. Ante un proceso automatizado, la probabilidad de errores siempre estará presente. Aunque eso no exime de culpa por los errores a estas 14 empresas que se vieron afectadas, este tipo de incidente ocurre con mayor frecuencia que la que aparece en los medios, incluso cuando no hay una empresa creando una trampa de por medio.

Como bien indica el equipo de investigación de ESET en el blog en inglés, “lo triste es que problemas genuinos pasen a segundo plano para dar lugar a la historia de ‘quién se copió de quién’“. Aunque la información original está simplificada, con la idea de mostrar “quién se equivoca”, la realidad es que hay otros factores a considerar. Ninguna empresa ha dejado de sufrir un falso positivo, y este tipo de noticia suelen desviar la atención de los problemas que realmente la industria debe enfrentar, como la estandarización de metodologías de evaluación dinámicas, que se está trabajando desde AMTSO.

En resumen, la estandarización y concientización respecto a las metodologías dinámicas de evaluación de antivirus debe ser un problema a resolver por la comunidad antivirus; y pruebas de este tipo, aunque en el corto plazo revelan errores en algunos fabricantes, no colaboran en soluciones a largo plazo que beneficien a los usuarios.

Sebastián Bortnik
Analista de Seguridad

Promedio: 4.71

• Usted está aquí: Virus Bulletin 2008 – Ottawa
• Juguemos: ¡Dame tu computadora!
• Creando firmas y jugando con adobe_flash.exe

Categorias: Educación
6 Comentarios »

Parece que los hoax han llegado definitivamente a la red social más popular. Luego del incidente de hace unos días con el falso mensaje respecto a la aplicación Unnamed App, otra vez alguien se ha tomado el trabajo de distribuir un mensaje en cadena por Facebook.

Les recuerdo que los hoax son mensajes falsos, distribuidos en forma masiva, con objetivos inofensivos a los sistemas, tales como molestar, alimentar el propio ego del creador o generar miedo. Es decir, no es una amenaza que genere graves problemas al usuario más que la propia molestia, el consumo innecesario de recursos o el miedo generado.

En esta oportunidad, se está propagando por la red social un mensaje, firmado por el “Fundador de Facebook”, que dice lo siguiente:

Lamentablemente este mensaje se trata de un engaño. Les doy la buena noticia de que este tipo de aplicaciones web suelen tener bases de datos que les permiten a sus administradores saber si un usuario está o no activo, y nunca una organización seria va a solicitar confirmar este tipo de información a través del envío de un mensaje en cadena.

Estimados usuarios, además tengo la suerte de poder darles otra buena noticia: aparentemente el fundador de Facebook (conocido como Mark Zuckerberg) es lo suficientemente serio para firmar sus mensajes y, en caso de necesitar comunicarse con el público, hacerlo a través del blog oficial de la empresa, y no en un mensaje en cadena.

La mala noticia es que si usted distribuyó este mensaje, ha caído en la trampa, por lo que le recomiendo leer qué es un hoax para así no seguir colaborando con aquellos que propagan estos molestos e innecesarios mensajes.

Sebastián Bortnik
Analista de Seguridad

Promedio: 5

• Phishing de Facebook
• Perfiles falsos y spam en Facebook
• Malware propagado en nombre de Facebook

Categorias: Hoax
3 Comentarios »

El gusano Conficker nos acompaña desde hace ya más de un año y, lamentablemente aún sigue infectando tanto usuarios hogareños como organizaciones y empresas; estos últimos más afectados ya que el código malicioso genera problemas en las redes de datos extremadamente dañinos, relacionados a la lentitud de la misma.

En el día de ayer, otra organización pública se ha visto afectada gravemente por los efectos del gusano. Según informa la BBC, la policía de Manchester tuvo que desconectar su red durante tres días de la base de datos nacional de la policía, debido a infecciones del gusano Conficker. Las primeras infecciones fueron detectadas el día viernes y dada la velocidad de propagación, se decidió la desconexión de la red hasta que la misma se encuentre estable y desinfectada, lo que demoró finalmente tres días.

Para confirmar la activa presencia de Conficker en las redes, basta observar el último reporte de amenazas de Enero de ESET Latinoamérica, donde una vez más Conficker se ubica como el código malicioso más detectado por ESET NOD32 Antivirus durante el último mes.

Incluso podemos observar el gráfico con los índices de detección de Conficker a lo largo de los meses, y comprobar que lleva ocho meses consecutivos siendo el malware que ocupa el primer lugar del ranking:

En resumen, esto nos demuestra que una amplia cantidad de usuarios y organizaciones no actualizan sus sistemas operativos, y no es una cuestión de tiempo, sino una mala costumbre sostenida de mantener los sistemas con vulnerabilidades de alto impacto para sus redes.

El hecho de que hayan transcurrido muchos meses desde su lanzamiento, lamentablemente no sirve de nada ya que Conficker sigue vigente, por lo que deben mantener sus redes protegidas con una solución antivirus y sus sistemas operativos con los parches a la fecha.

Sebastián Bortnik
Analista de Seguridad

Promedio: 5

• Novedades de Conficker
• Herramienta de ESET para eliminar Conficker
• Estadísticas de Conficker

Categorias: Alertas, Malware
1 Comentario »

Nuevamente los usuarios de Brasil son víctimas de una campaña de infección a través de malware que se propaga vía correo electrónico y son diseñados para robar información sensible de índole financiera.

En este sentido Brasil es uno de los países de América Latina con mayor índice de actividades fraudulentas de este tipo, a través de códigos maliciosos y amenazas asociadas. De hecho, anteriormente hemos comentado que es uno de los países con mayor tasa de emisión de spam según un informe elaborado por la empresa de Networking Cisco, que incluso afirma lo que nosotros mencionamos unos meses antes.

Bajo este escenario, los delincuentes buscan ganar la seguridad de los usuarios enviando correos electrónicos con mensajes falsos, supuestamente emitidos por una entidad financiera de confianza y reconocida; como el siguiente ejemplo que dice provenir del Banco do Brasil:

En todos los casos, la estrategia de propagación posee un fuerte condimento de Ingeniería Social empleando nombres de entidades reconocidas para que el usuario confíe que realmente se trata de un correo electrónico benigno.

Aunque un gran porcentaje de los ataques de este estilo utilizan como método de engaño un mensaje supuestamente emitido por una entidad financiera, no siempre es así. La siguiente captura lo afirma y deja en evidencia la masiva campaña de propagación de malware diseñado para robar información de usuarios de Brasil. En este segundo ejemplo, el correo simula haber sido emitido por la Policía Federal de Brasil:

En ambos casos, el modus operandi de estas familias de troyanos, detectados por ESET NOD32 bajo el nombre de Win32/TrojanDownloader.Banload.OEL y Win32/Spy.Banker.QEP respectivamente, es similar: se adjunta en el correo un archivo o se incrusta un enlace, incitando a la potencial víctima (a través del mensaje falso) a que descargue el archivo y lo ejecute. En esta instancia, se infectará el sistema y el malware se encargará de descargar otros códigos maliciosos para continuar con la estrategia de propagación.

Desde nuestro Laboratorio de Análisis e Investigación de Latinoamérica estudiamos de cerca las actividades de estas amenazas que se encuentran diseñados para robar información de entidades financieras de Brasil, y por ende realizar ataques de phishing dirigidos exclusivamente a esa región.

Esta situación plantea un problema en potencia, tanto para los usuarios como para las empresas ya que se encuentran bajo la mira del sistema delictivo de Brasil que utiliza Internet como plataforma de infección, algo que desde ESET habíamos advertido ya como tendencia para el 2009.

Por lo tanto, es importante que los usuarios se mantengan informados sobre las estrategias delictivas que actualmente se emplean de forma masiva y que se encuentran orientadas para intentar robar dinero, ya que es necesario conocerlas para poder prevenirlas. Asimismo, no hacer caso omiso a las recomendaciones de seguridad de los profesionales.

Las compañías deben fortalecer sus políticas de seguridad con planes de concientización, informando a sus empleados sobre las implicancias directas sobre los activos que provocan los incidentes por códigos maliciosos, e implementar soluciones de seguridad proactivas, como las que ofrece ESET para entornos corporativos y redes LAN, que cumplan con las necesidades que cualquier compañía (sin importar su tamaño) demanda diariamente en materia de seguridad y prevención.

Jorge Mieres
Analista de Seguridad

Promedio: 5

• Supuesto video de TIM Brasil propaga malware
• Supuesto video de TIM Brasil propaga malware (II)
• Infección por archivos ¿ejecutables?

Categorias: Alertas, Malware
Dejar un comentario »