domingo, agosto 20, 2006

Yo la tengo más grande que vos...

Algunas personas a veces miden la masculinidad por cuestiones de tamaño, algo que claramente denota infantilidad. Esto es algo que también afecta a la industria antivirus últimamente y a continuación vamos a explicar un poco la situación.

Los productos antivirus cuentan con una base de datos de firmas, vacunas, patterns o signatures, que básicamente son formas de identificar si un archivo es un virus o no. Estos "identificadores" requieren ser actualizados constantemente, para agregar nuevos, a fin de reconocer los virus que aparecen a diario. Lo mismo sucede con los otros tipos de amenazas, como el software espía, los caballos de troya, etc.

Esto hace que las bases de datos de los antivirus y antispyware crezcan y contengan cada vez más firmas, cientos de miles en algunos casos.

Muchas compañías antivirus publicitan sus productos diciendo cosas como "tenemos la base de datos de firmas más completa", "creamos la mayor cantidad de firmas por día del mercado", y comparan sus productos contra los de la competencia en base a esto, suponiendo que quién tiene más identificadores en su base de datos, detecta más virus.

Esas afirmaciones distan mucho de la realidad, por las siguientes razones, entre otras:
  • Productos con una heurística pobre o con un soporte pobre de amenazas empaquetadas (*), necesitan más firmas que aquellos que cuentan con una fuerte heurística o un amplio soporte de empaquetadores.
  • La diferencias tecnológicas existentes en los productos antivirus hacen que, por ejemplo, aquellos con firmas genéricas (**) más fuertes requieran menos cantidad de firmas para detectar la misma cantidad de virus que otros que no utilizan firmas genéricas o las aplican pobremente
  • Las pruebas de detección que realizan los laboratorios de investigación muestran claramente que aquellos con mayores tasas de detección no siempre son los que tienen una mayor cantidad de firmas

Asimismo, una gran base de datos de firmas también puede ocasionar un problema: mayor lentitud durante los escaneos de los discos duros, dado que deben comparar los archivos sospechosos contra una mayor cantidad de identificadores.

Como decimos siempre, a la hora de evaluar una solución de seguridad informática, debemos desoír a los vendedores y prestarle más atención a lo que nosotros podemos ver con nuestros propios ojos y a los que las pruebas independientes bien hechas nos muestran. El vendedor va a querer que compremos, más allá de que su producto sea el mejor o no, y utilizará una serie de técnicas y/o "pruebas" para convencernos... En seguridad informática, como en la vida, no importa quien la tiene más grande, sino quien la usa mejor ;-P

/Nárion

(*) Empaquetadores: son software que permite comprimir y/o codificar archivos ejecutables, lo cual hace que cuando los antivirus y antispyware los analicen, sean "distintos" a los archivos sin empaquetar.

(**) Firmas genéricas: en inglés, generic signatures, permiten con una sola firma detectar una serie de amenazas similares.

viernes, agosto 04, 2006

La mentira del 100 %

Hay una ley no escrita de la seguridad informática que reza "Nada es 100 % seguro". No es posible que un antispam detecte el 100 % del spam, un antivirus el 100 % de los virus, y así, sin causar un gran número de falsos positivos (*). A continuación, explicaremos por qué.

A diario se detectan un gran número de nuevos ejemplos de spam, virus, phishing, etc; muchos de estos son nuevos y otros modificaciones de variantes anteriores. Las soluciones contra dichas amenazas informáticas se basan en dos tipos de detección: una basada en vacunas/patrones/firmas de lo que conocen, y otra "inteligente" que busca determinar si algo desconocido puede ser una amenaza o no.

El primer tipo de detección, para ser 100 % eficaz, necesita conocer todas las amenazas informáticas existentes, lo cual es imposible hoy en día; si se logra que un antivirus sea 100 % eficaz a las 12.00 de hoy, posiblemente a las 12.05 ya no lo sea porque un nuevo malware ha aparecido, y es necesario volver a actualizar el producto para detectarlo.

El segundo tipo de detección, "inteligente", para ser 100 % eficaz en la detección de malware, seguramente detectará otras cosas que no son malware. Es lo que pasa con muchas soluciones antispam: cuanto más intentamos que se detecte el 100 % del spam, mayor cantidad de correos normales son eliminados como no deseados.

En una época, las soluciones de seguridad informática se comercializaban con frases del tipo "detectamos el 100 % de los virus", "lo protegemos con un 100 % de seguridad", etc. Los usuarios comenzaron a aprender que esto no era posible, pero lamentablemente todavía hay empresas que quieren hacernos creer lo contrario.

Vamos a ver algunos ejemplos:

Y no voy a opinar sobre esto, a ver si termino como Guillermito, pero me gusta eso de que me garanticen el 100 % libre de virus a través de un SLA.

Ah! No crean que los anteriores son los únicos casos... A lo largo de la historia e incluso en la actualidad, más de un vendedor sigue diciendo que SU solución de seguridad es 100 % eficaz... Cuando escuchen eso... ¡Escapen bien lejos!

Existen algunas soluciones que pueden llegar a ser 100 % eficaz en detectar o bloquear ciertos tipos de amenazas, pero quitando funcionalidad o facilidad de uso, como es el caso de los filtros antispam que cada vez que una persona le envia un mensaje a alguien que tiene dicho filtro, el mensaje debe ser confirmado para ver que realmente se envio... Pero obviamente, eso hace menos usable el correo electrónico. (y tampoco creo que sean 100 % eficaz, pero no puedo asegurarlo a no haberlas usado durante mucho tiempo)

No se dejen engañar, nadie puede ofrecerles 100 % de seguridad; quizás puedan ofrecerles un 90, 95, y quizás hasta un 99, pero el resto debemos ponerlo cada uno, y sin pensar antes de actuar, y sin usar en forma segura nuestros equipos informáticos, siempre tendremos inseguridad.

/Narion

(*) Falsos positivos: Detectar algo que no es malicioso como si lo fuera.

jueves, agosto 03, 2006

OFF-TOPIC: El poder de Meneame :-)

Interesante el sitio meneame.net, e increible el poder que tiene. Con todo el tema de "Norton genera un virus", un amigo publicó en meneame un enlace a esta noticia, la cual fue pasada luego a la portada, y de allí llegó a Barrapunto.com, y al mismisimo The Inquirer, origen del error que inició todo este lío.

Enhorabuena a toda la gente que hace meneame, están logrando cambiar internet :-)

Lecturas sugeridas:

-----

/Nárion

miércoles, agosto 02, 2006

Un error de traducción puede causar gran desinformación

Es increíble como funciona el mundo de las noticias en Internet. En muchos casos, existen sitios que reproducen noticias de otros sitios, las cuales fueron reproducidas desde otros sitios, y luego de varias reproducciones llegamos a la fuente.

Eso no sería un problema si se hiciera bien, la cuestión es cuando se hace mal. Lo que sucede a menudo es que estas reproducciones son como las fotocopias. Una fotocopia de una fotocopia no tiene la misma calidad que una fotocopia de un original, y menos una fotocopia de una fotocopia de una fotocopia (disculpen el trabalenguas).

Vamos a analizar un caso en particular; el día 1ero. de Agosto, el medio The Inquirer publicó una noticia sobre un bug encontrado en Norton Antivirus 2006 tras una actualización del software, la cual fue resuelta por la empresa Symantec, con una nueva actualización a través de su servicio LiveUpdate.

La noticia original no tiene nada de malo. Habla de un bug, palabra que puede traducirse como error, falla, vulnerabilidad, etc., algo que lamentablemente es normal en ciertas aplicaciones de seguridad informática últimamente.

El problema nace con la versión en español de The Inquirer. Quien realizó la traducción, en lugar de hablar de un error o falla, tradujo bug como virus. En algunos casos, esa traducción podría ser correcta, pero en esta noticia en particular, cambia completamente el sentido de la noticia.

De hablar de un fallo normal en un producto antivirus (Norton) se pasa a hablar de que "Norton genera un virus". ¿Un antivirus generando virus? Partiendo de la base que es técnicamente imposible que una falla en una aplicación de software genere un código malicioso per se, este error de traducción produce una desinformación grandisima, además de ser un daño a la imagen de la empresa.

Obviamente, esta noticia fue rápidamente reproducida por otros medios, generando comentarios en las reproducciones como "Los que creen en teorías conspirativas del tipo “los creadores de los virus son los que se dedican a los antivirus”, de parabienes.", como se vió en un sitio argentino.

Imaginen la cara de los usuarios de Norton Antivirus al leer en Internet que su antivirus, en el que confían para que los proteja de los virus, ¡ha generado un código malicioso! E intenten pensar en la cara de los responsables hispanos de marketing de Symantec, la empresa que desarrolla Norton Antivirus, al ver este tipo de noticias y pensar el daño a la imagen de la compañía que esto causa.

Este es otro claro ejemplo de como los medios de internet no especializados desinforman a los usuarios, confundiendolos, e incluso pueden dañar a las empresas, tan sólo por un pequeño error de traducción. Los informadores deberían preocuparse más por generar un trabajo de calidad...

----

Actualización:

Sigue la desinformación:
http://www.datafull.com/noticias/index.php?id=9501

----

Actualización Agosto 3:

The Inquirer ha corregido el fallo (ver comentarios):
http://es.theinquirer.net/2006/08/01/norton_genera_un_virus.html
(aunque el link diga lo contrario ;-P)


Y Javier Smaldone hizo un seguimiento gráfico del incidente muy bueno:
http://blog.smaldone.com.ar/2006/08/02/jugando-al-telefono-descompuesto/

martes, agosto 01, 2006

Desinformación a la Google

Google Inc., es una de las empresas de mayor crecimiento en el mercado de Internet, y desde su inicio ha sido foco de interes, debido a lo novedoso de sus soluciones informáticas y la facilidad de uso. Sin lugar a dudas, Google.com es el buscador Nro. 1 de la actualidad, y todo lo que lleve su nombre es sinónimo de reconocimiento por parte de los medios.

Por esto, si aparece un virus que tenga algo que ver con Google, aparece en las "primeras planas" de los diarios en línea en cuestión de minutos.

Esto fue lo que sucedió con un sitio que intentaba suplantar la imagen de Google, y que si el usuario lo visitaba e intentaba descargar la toolbar del buscador, en realidad estaba instalando un troyano. Esto fue anunciado por la empresa SurfControl:

http://www.infobaeprofesional.com/interior/index.php?p=nota&idx=30969

Lo interesante del tema es que hay cientos de páginas suplantando imagenes, como es el caso del phishing y las entidades bancarias, y en realidad, la página usada por este troyano, apenas estuvo en línea poco tiempo, y no se reportaron casos de infección, según las grandes empresas de antivirus.

Este es un caso más de una empresa intentando llamar la atención utilizando grandes nombres; si la página en cuestión hubiera intentado suplantar a otra empresa, nadie le hubiera prestado atención. Un 10 para los encargados de prensa de SurfControl, pero un 0 para su motivación; asustar a los usuarios para que se conozca su marca es algo común hoy en día, pero no tenemos por qué soportarlo...