Hemos hablado reiteradas veces en este mismo espacio sobre la heurística antivirus y los falsos positivos. Estos, son archivos benignos que son detectados por una solución antivirus. En la vorágine de malware existente en la actualidad (nuestros laboratorios reciben más de 200 mil reportes de malware diariamente); es posible que una detección sea errónea, y que el antivirus deba eliminar dicha detección. Ahora, ¿qué debe hacer un usuario si detecta un falso positivo? En lineas generales, reportar el incidente. Hay otras alternativas, pero hay una que nunca es válida: deshabilitar el antivirus. Veamos…

Hace unos días nos reportaban un sitio web gubernamental argentino, que en la página web de descarga de una aplicación, tenía un instructivo especial para los usuarios de nuestros productos:

Si el usuario accedía al instructivo en formato PDF, podía observar un consejo un tanto particular: desactivar la protección antivirus.

Ver más… »

Categories: Educación, Productos
2 Comments »

En los últimos días la industria antivirus se ha visto en un debate respecto al proceso de creación de firmas.

Antes de contar el incidente me parece oportuno repasar con los lectores qué es Virus Total: se trata de un servicio web que ofrece a los usuarios la posibilidad de subir un archivo y verificar si el mismo es detectado por una serie de programas antivirus (a la fecha, 39). Hasta aquí el uso para el usuario. Además, lo que muchos lectores desconocerán, es que Virus Total colabora con las empresas antivirus enviando los archivos nuevos recibidos a los laboratorios, para así brindar mayor seguridad a los usuarios.

Explicado el funcionamiento de Virus Total, paso a contarles el incidente ocurrido en la semana. Como indica el portal pcmag.com, una reconocida empresa antivirus (no fuimos nosotros) decidió probar a la industria, creando 20 archivos inofensivos y creando firmas para 10 de ellos. Luego, subieron todos los archivos a Virus Total.

A pesar de que los archivos eran inofensivos, diez días más tarde 14 empresas antivirus detectaban como malicioso alguno de los archivos benignos (aquí tampoco fuimos nosotros, ya que ESET no detectó ninguno de estos archivos).

Independientemente de las dudas o cuestionamientos a la empresa que realizó el experimento (o trampa, según cómo prefieran llamarlo), la realidad es que este incidente pone en duda cuáles son los métodos que están utilizando las empresas antivirus para identificar amenazas. Claramente el hecho de que un archivo “sea detectado por la empresa X” no debería ser motivo suficiente para detectar el mismo. De hecho, si así fuera un falso positivo podría propagarse rápidamente por todas las compañías antivirus.

Vale destacar que todas las compañías antivirus necesitan de procesos de detección de malware automatizados. La cantidad de muestras que se reciben en el laboratorio diariamente es imposible de ser analizada manualmente, para dar respuestas en tiempos efectivos para los usuarios. Ante un proceso automatizado, la probabilidad de errores siempre estará presente. Aunque eso no exime de culpa por los errores a estas 14 empresas que se vieron afectadas, este tipo de incidente ocurre con mayor frecuencia que la que aparece en los medios, incluso cuando no hay una empresa creando una trampa de por medio.

Como bien indica el equipo de investigación de ESET en el blog en inglés, “lo triste es que problemas genuinos pasen a segundo plano para dar lugar a la historia de ‘quién se copió de quién’“. Aunque la información original está simplificada, con la idea de mostrar “quién se equivoca”, la realidad es que hay otros factores a considerar. Ninguna empresa ha dejado de sufrir un falso positivo, y este tipo de noticia suelen desviar la atención de los problemas que realmente la industria debe enfrentar, como la estandarización de metodologías de evaluación dinámicas, que se está trabajando desde AMTSO.

En resumen, la estandarización y concientización respecto a las metodologías dinámicas de evaluación de antivirus debe ser un problema a resolver por la comunidad antivirus; y pruebas de este tipo, aunque en el corto plazo revelan errores en algunos fabricantes, no colaboran en soluciones a largo plazo que beneficien a los usuarios.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación
9 Comments »

Es normal que nuestro Laboratorio reciba archivos dañados y que se nos reporte que nuestro antivirus no detecta el mismo o que informa que el archivo se encuentra, justamente, dañado. Como ejemplo se nos envía un listado como el siguiente, de un archivo reportado a VirusTotal unos días atrás:

Si bien este reporte indica que 11 antivirus detectan el archivo como dañino, como podemos ver a continuación, si se intenta ejecutar el archivo, el sistema operativo informa que el mismo está dañado y por ende no se ejecutará, por lo cual es imposible que ocasione daño:

Es decir que la detección de los antivirus es en realidad incorrecta y esto es lo que se conoce como Falso Positivo. En consecuencia, este archivo no debería ser detectado por los antivirus y se debería ignorar el mismo, tal y como lo hace e informa correctamente ESET NOD32.

Entre otras cosas, la ausencia de Falsos Positivos es lo que permite a ESET tener la gran cantidad de certificaciones y premios actuales.

Aprovecho este espacio también para aclarar que VirusTotal no es una herramienta apropiada para comparar antivirus ni tampoco una herramienta de marketing, pero este tema lo trataré en breve.

Cristian

Categories: Certificaciones, Educación, Productos
5 Comments »

Los productos antivirus son aplicaciones. Los productos antivirus son software. Los productos antivirus son programas. Los productos antivirus son código fuente escrito por seres humanos compilado por seres humanos y utilizados por seres humanos y por ende pueden “cometer” errores.

Cuando un producto antivirus detecta una aplicación no dañina como tal, está ocurriendo lo que recibe el nombre de Falso Positivo (FP). Los FP no son exclusivos de los productos antivirus y pueden ocurrir en cualquier otro tipo de software o hardware de seguridad como los dispositovos biométricos o los IDS, por nombrar algunos.

Por supuesto, es una situación no deseada, pero es mejor que dejar pasar algo dañino sin detectarlo siempre y cuando los FP sean escasos y un producto no se vuelva paranóico detectando todo como dañino. Cuando esto sucede, el usuario o quien corresponda debe informar a la brevedad al fabricante para que el mismo solucione el problema (algo que suele ocurrir dentro de las primeras 24 hs luego de informado).

A modo de ejemplo podemos ver como un producto de seguridad detecta el instalador de ESET NOD32 de Hungría como un posible malware. El fabricante fue informado y el FP solucionado inmediatamente.

Si alguien le dice “mi producto es 100% seguro”, le está mintiendo. Si alguien le dice “mi producto detecta todo el malware existente”, le está mintiendo. Si alguien le dice “mi producto no tiene Falsos Positivos”, le está mintiendo.

Téngalo en cuenta: como cualquier software, los productos de seguridad pueden detectar falsos positivos considerando que los mismos deben ser escasos y se deben solucionar a la brevedad.

Cristian

Categories: Educación, Productos
5 Comments »