domingo, agosto 20, 2006

Yo la tengo más grande que vos...

Algunas personas a veces miden la masculinidad por cuestiones de tamaño, algo que claramente denota infantilidad. Esto es algo que también afecta a la industria antivirus últimamente y a continuación vamos a explicar un poco la situación.

Los productos antivirus cuentan con una base de datos de firmas, vacunas, patterns o signatures, que básicamente son formas de identificar si un archivo es un virus o no. Estos "identificadores" requieren ser actualizados constantemente, para agregar nuevos, a fin de reconocer los virus que aparecen a diario. Lo mismo sucede con los otros tipos de amenazas, como el software espía, los caballos de troya, etc.

Esto hace que las bases de datos de los antivirus y antispyware crezcan y contengan cada vez más firmas, cientos de miles en algunos casos.

Muchas compañías antivirus publicitan sus productos diciendo cosas como "tenemos la base de datos de firmas más completa", "creamos la mayor cantidad de firmas por día del mercado", y comparan sus productos contra los de la competencia en base a esto, suponiendo que quién tiene más identificadores en su base de datos, detecta más virus.

Esas afirmaciones distan mucho de la realidad, por las siguientes razones, entre otras:
  • Productos con una heurística pobre o con un soporte pobre de amenazas empaquetadas (*), necesitan más firmas que aquellos que cuentan con una fuerte heurística o un amplio soporte de empaquetadores.
  • La diferencias tecnológicas existentes en los productos antivirus hacen que, por ejemplo, aquellos con firmas genéricas (**) más fuertes requieran menos cantidad de firmas para detectar la misma cantidad de virus que otros que no utilizan firmas genéricas o las aplican pobremente
  • Las pruebas de detección que realizan los laboratorios de investigación muestran claramente que aquellos con mayores tasas de detección no siempre son los que tienen una mayor cantidad de firmas

Asimismo, una gran base de datos de firmas también puede ocasionar un problema: mayor lentitud durante los escaneos de los discos duros, dado que deben comparar los archivos sospechosos contra una mayor cantidad de identificadores.

Como decimos siempre, a la hora de evaluar una solución de seguridad informática, debemos desoír a los vendedores y prestarle más atención a lo que nosotros podemos ver con nuestros propios ojos y a los que las pruebas independientes bien hechas nos muestran. El vendedor va a querer que compremos, más allá de que su producto sea el mejor o no, y utilizará una serie de técnicas y/o "pruebas" para convencernos... En seguridad informática, como en la vida, no importa quien la tiene más grande, sino quien la usa mejor ;-P

/Nárion

(*) Empaquetadores: son software que permite comprimir y/o codificar archivos ejecutables, lo cual hace que cuando los antivirus y antispyware los analicen, sean "distintos" a los archivos sin empaquetar.

(**) Firmas genéricas: en inglés, generic signatures, permiten con una sola firma detectar una serie de amenazas similares.