Como es habitual Sergio nos deja una perla de las que te hacen reflexionar y cuestionarte sobre esa falsa sensación de seguridad, que algunos estiman como un riesgo importante en la seguridad.
Besitos para ellas y abracitos para ellos.
-------------------------------------------------------------------
Hispasec -
una-al-día
20/10/2012
Todos los días
una noticia de seguridad www.hispasec.com
Síguenos en
Twitter: http://twitter.com/unaaldia
Noticia en
formato HTML: http://www.hispasec.com/unaaldia/5110
-------------------------------------------------------------------
Antivirus y el
manejo de las expectativas
-----------------------------------------
A una señora en Murcia que regenta un locutorio, le han
realizado una transferencia de 2800 euros hacia la cuenta de un desconocido sin
su consentimiento. El banco se niega a devolverle el dinero. Ha sido víctima de
una variante de Citadel, el de la transferencia ficticia.
Entre lágrimas por haber perdido la recaudación del mes,
nos pregunta
desesperada: "¿Pero cómo ha podido ocurrir? No lo
entiendo, ¡tengo un antivirus! ¡No es pirata!"
Un bufete de arquitectos en Barcelona nos contacta. Desde
su proveedor han detectado un tráfico muy sospechoso que proviene de la red
interna.
Es probable que se esté filtrando información.
Preocupados, se ponen en contacto con nosotros: "Estamos protegidos con un
antivirus. Hemos analizado cada máquina incluso con otra marca y también nos
dice que estamos limpios. ¿Qué demonios está pasando?".
Estos son solo dos ejemplos reales de nuestro día a día.
En ambos casos, los forenses indicaron infecciones comunes en el sistema. Nada
de amenazas dirigidas: malware común, del que infecta a millones de máquinas
cada día. Se habían infectado a través de una vulnerabilidad en un plugin del
navegador. En los dos casos se detectó el malware, y se eliminó. Y en los dos
casos (y en cualquier forense realizado, en general), efectivamente disfrutaban
de la protección de un antivirus reconocido, actualizado, activo y plenamente
funcional que ofrecía todo tipo de protección.
¿Crisis antivirus?
Los antivirus comenzaron (y siguen) usando tecnología de
firmas.
Mejoraron con la heurística, que se demostró
insuficiente. Incorporaron incluso análisis de comportamiento y además,
reconocimiento en la nube con millones de ficheros en listas blancas y negras
de reputación en tiempo real. ¿El resultado? Además de estos ejemplos comunes
en nuestro laboratorio, según el estudio del Observatorio de INTECO con el que
colaboramos, los niveles de malware encontrado en unos 3000 usuarios analizados
mensualmente en España rondan desde hace años el 50% de equipos que alojan al menos
una muestra. De ellos, el 95% suele usar antivirus. No parece muy alentador.
Pero el antivirus no está en crisis.
Las expectativas
La pregunta de los usuarios es normal. Me han vendido un
producto que no ha cumplido su función, por tanto, en su lógica, el producto es
el culpable. Y efectivamente, el antivirus ha fallado... pero el problema
reside realmente en las expectativas. Cuando se adquiere un producto, se espera
que cumpla la función que promete y se crean por tanto unas expectativas que,
una vez incumplidas, se sienten como deudas. Pero quizás nosotros mismos
(ayudados, eso sí, por la publicidad y nuestra interiorización de sus mensajes)
hemos generado esas expectativas exageradas.
Depende de en qué plano nos movamos, estamos más
expuestos a generar expectativas increíbles. Si bien no esperamos que al
comprar determinada marca de desodorante, chicas espectaculares caigan a
nuestros pies por el simple hecho de oler mejor y que un anuncio lo asegure, en
el plano de la tecnología el usuario es más vulnerable en este aspecto: si la
publicidad del antivirus dice que me protege, espero protección.
Protección total, y no a medias. Pero la realidad es
diferente. Como hemos mencionado en otra ocasión, el antivirus es un chaleco
antibalas... pero hoy en día, los atacantes han aprendido tanto a disparar a la
cabeza, como a atravesar el material del que están hechos.
Si un coche cae por un barranco, explota y se consume en
llamas, ningún testigo gritaría ante el cuerpo calcinado del conductor:
"¡¿Pero si usaba un cinturón de seguridad, cómo ha podido ocurrir!?".
Un cambio en las expectativas
Más que culpar a un producto, se debe generar un cambio
de expectativas en el usuario medio. Los atacantes llevan ventaja. Desde (¿y
para?) siempre. Actualmente, la fórmula por la que crean archivos únicos que
solo funcionan en el equipo de la víctima, (cifrados exclusivamente para ese
ordenador con criptografía simétrica basada en parámetros únicos del sistema),
dificulta muchísimo tanto su detección, como la extrapolación a ningún tipo de
lista para compartirla con otros usuarios. También complica el análisis, así
que es más complejo crear una firma y que se detecten muestras similares. Para
colmo, otros problemas más prosaicos como la escasez de personal en los laboratorios
en épocas de crisis, ralentizan las investigaciones antivirus. Y aunque todo
esto se solucionara, los atacantes seguirán con ventaja. Afrontémoslo.
El usuario debe aprender entonces a esperar lo que de
verdad puede conseguir de cada tecnología. El corrector ortográfico de Word no
se hace llamar "antierrores ortográficos", ni nos convierte
automáticamente en un académico de la lengua. Solo nos ayuda a detectar fallos
comunes.
Para escribir bien y que no se cuelen errores en nuestros
párrafos, es necesario usar otras "herramientas": entender la
gramática y mejorarla con la lectura de calidad. Jamás se inventará el
corrector que consiga eso por nosotros. Probablemente, el antivirus debería
llamarse "detector (de algunos tipos) de malware" para reforzar la
idea de que es necesaria otro tipo de protección adicional y rebajar las
expectativas en este campo... pero probablemente los de marketing no estarían
muy de acuerdo.
¿Y qué tipo de protección adicional es necesaria?
Desde luego, superar el binomio clásico "antivirus y
cortafuegos entrante" tan incompleto y obsoleto. Una buena medida es
conocer y activar las opciones de seguridad de Windows, y otra muy interesante
que ha aparecido últimamente, son los programas antiexploits. No me refiero a
la detección de exploits que también intentan los antivirus (con éxito
relativo, como ocurre con la detección de malware). Este tipo de software se
preocupa del malware en otro plano: detectan las técnicas de intentos de
explotación de vulnerabilidades que hacen que se instale el malware, no del
malware en sí (para eso estaría el antivirus). Y dan buenos resultados. EMET,
la herramienta de Microsoft es una buena prueba de ello, y personalmente estoy
seguro de que acabará integrada de serie en futuras ediciones de Windows.
ExploitShield es otro gran programa aparecido recientemente. Intenta impedir
que los exploits lleguen a ejecutar código, basado en su comportamiento
esencial. Es muy efectivo.
Para hacernos una idea de que este es un problema que hay
que atajar, de ese 50% de sistemas infectados del que hemos hablado, sí, un 95%
usa antivirus... pero solo un 60% suele tener actualizados todos sus
programas...
Por supuesto, si se popularizan los programas
antiexploit, no serán la solución definitiva y tendrán que evolucionar... Pero
parecen un buen camino, hoy. Desprendámonos de consejos obsoletos. Actualmente,
los exploits y las vulnerabilidades en software no actualizado representan una
buena parte del problema. No seamos víctimas de nuestras propias expectativas.
Opina sobre esta noticia:
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv