Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2827/11/2008=29_El_antivirus_que_lo_detecta_

From noticias@hispasec.com@2:341/201.99 to All on Thu Nov 27 12:10:02 2008

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 27/11/2008
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

El antivirus que lo detecta todo
--------------------------------

No es broma, las nuevas estrategias en la detecci�n de c�digo malicioso
apuntan a ese objetivo que puede sonar ut�pico. No quiere decir que nos
estemos acercando al antivirus perfecto, sino que los nuevos enfoques de
las soluciones de seguridad intentan identificar tanto al malware como a
los ficheros leg�timos, tratan de clasificar todo.

Si nuestro ordenador fuera una discoteca el antivirus ser�a el portero,
el encargado de decidir qui�n puede pasar y qui�n no a divertirse en
nuestro local. Dependiendo de lo exclusiva que sea nuestra discoteca, la direcci�n podr�a haber ordenado al portero que siguiera una de las
siguientes estrategias:

(1) s�lo dejar pasar a las personas VIP y conocidas seg�n una lista
(lista blanca).

(2) no dejar pasar a aquellas personas reconocidas como problem�ticas
(lista negra).

Con la estrategia (1) nuestra discoteca ser�a demasiado elitista, ya que
no permitir�a entrar a gente nueva o desconocida hasta que no hubiera
sido dado de alta en la lista blanca. Un verdadero incordio y no ser�a operativo. En el caso (2) nuestro local estar�a m�s animado y
evitar�amos a los individuos peligrosos reconocidos, que en un principio
no eran demasiados, as� que la direcci�n de la discoteca apost� por esta opci�n.

El de los antivirus siempre hab�a sido un mundo de listas negras,
estrategia n�mero (2), con firmas y patrones para detectar al c�digo
malicioso e impedirles que pudieran entrar o ejecutarse en nuestro
ordenador.

Con el tiempo se vio que esa estrategia era insuficiente, ya que hab�a
mucho malware de nueva creaci�n que no se encontraba en la lista negra
(se les colaban muchos indeseables). La lista negra requer�a ser
constantemente actualizada y, aun as�, no era suficiente. Se apost� por potenciar la heur�stica, que en el caso de nuestro portero vendr�a a ser
una orden similar a la siguiente:

(3) no dejar pasar a personas que por sus caracter�sticas te parezcan sospechosas o que pudieran causar problemas

Con la entrada de la heur�stica la discoteca tuvo algunos problemas, el
portero sospech� de gente VIP y no les dej� entrar. As� que la direcci�n
le dijo al portero que utilizara tambi�n una peque�a lista blanca para reconocer a esas personas y no impedirles su entrada por error. De esta
forma el portero comenz� a utilizar al mismo tiempo las estrategias (1),
(2) y (3) de forma complementaria.

De esta misma forma el uso de listas blancas comenz� a ser m�s popular
entre los antivirus, si bien sol�a limitarse a corregir y prevenir
falsos positivos, para no dar por malware o virus un fichero leg�timo
muy conocido. Ya sab�is, detectar como malware el notepad.exe ser�a como negarle la entrada a nuestra discoteca a Pilar Rubio. Imperdonable.

Pas� el tiempo y la discoteca segu�a teniendo incidentes y problemas de seguridad. Aun teniendo una lista negra, heur�stica y lista blanca,
segu�an col�ndose muchos indeseables al local. La direcci�n pidi� al
portero que aumentara su nivel de heur�stica, m�s paranoia a la hora de
impedir el paso a personas que aparentemente pudieran dar problemas.

En el mundo de los antivirus hemos visto ese aumento de paranoia en
heur�sticas m�s agresivas, por ejemplo aquellas que detectan como
malware un fichero por el simple hecho de estar tratados con un
"packer".

Con la nueva heur�stica m�s paranoica aumentaron las reclamaciones a la direcci�n de la discoteca. A muchas personas que no eran tan famosas
como para estar en la lista VIP o peque�a lista blanca se les negaba la
entrada al local por parecer sospechosas a ojos del portero.

La discoteca estaba en crisis. Si aumentaba la heur�stica y paranoia del portero ten�an reclamaciones por impedir la entrada a personas
leg�timas. Si disminu�a la heur�stica se le colaban demasiados
indeseables.

En esa situaci�n se encuentra la industria antivirus actual: una lista
negra actualiz�ndose constantemente (hay antivirus que se actualizan
varias veces cada hora); una heur�stica agresiva para detectar nuevos espec�menes que no est�n en su lista negra; y una lista blanca m�s
peque�a, y que se actualiza menos, para evitar meter la pata
excesivamente detectando como malware alg�n software muy conocido y/o extendido. El resultado es de crisis t�cnica, siguen teniendo muchos
problemas como en la discoteca, o bien est�n detectando como malicioso
software leg�timo, o bien se les sigue colando en cantidad malware de
verdad, o en el peor de los casos ambas cosas.

Una de las soluciones podr�a ser tener una lista blanca muy grande y actualizarla constantemente, como en el caso de la lista negra. Eso
limitar�a el n�mero de falsos positivos y las heur�sticas podr�an
concentrarse en aquellos ficheros totalmente desconocidos, que no est�n
ni en la lista negra ni en la lista blanca, y que deber�an ser un n�mero
m�s reducido.

De esta forma un antivirus podr�a tener un primer dictamen muy r�pido
dado un fichero: o se encuentra en la lista negra y por tanto es
malicioso, o se encuentra en la lista blanca y no necesito analizarlo, o
lo marco como desconocido "lista gris" y le aplico una heur�stica
agresiva, o les hago un seguimiento especial (monitorizaci�n del comportamiento), o lo paso a cuarentena a la espera de un proceso que
permita tener un dictamen m�s o menos fiable.

Esta nueva estrategia requerir�a manejar unas listas blancas y negras
muy grandes, y actualizarlas constantemente, para minimizar el n�mero de ficheros que podr�an caer en la lista gris (desconocidos). Eso se
traduce en el consumo de un mayor n�mero de recursos por parte del
antivirus local: imaginemos que el portero tiene que consultar dos
listados de millones de registros cada vez que alguien quiere entrar a
nuestro local. En el PC significar�a mayor consumo de memoria y CPU,
am�n de una constante actualizaci�n de los ficheros de firmas a trav�s
de Internet.

La soluci�n a este problema de recursos viene de la mano de lo que se ha
dado por llamar "cloud computing", tan de moda desde hace un tiempo, y
que no es m�s que traspasar parte del trabajo a un servidor remoto con
una enorme capacidad de almacenamiento y proceso (lo que se conoce por
"la nube"). En vez de tener que consultar unas enormes listas negras y
blancas en el ordenador local, con el consiguiente consumo de recursos,
esa consulta se hace a trav�s de Internet a un gran servidor
centralizado (un cluster de servidores) que devuelve al PC el resultado,
si ese fichero est� en su lista negra o blanca.

Con este enfoque el n�mero de ficheros desconocidos disminuye y, por
tanto, el antivirus local puede centrarse en ellos con heur�sticas o una monitorizaci�n del comportamiento con mayor detenimiento para dictaminar
si es un c�digo malicioso o no. La otra ventaja es que ese dictamen
local puede traspasarse a la nube, a los servidores centralizados, en
tiempo real, de forma que ese malware nuevo descubierto en un PC formar�
parte de la lista negra y prevendr� a otros sistemas que realicen a
posteriori una consulta sobre ese fichero en particular. Incluso,
dependiendo de la estrategia del antivirus, los ejecutables desconocidos podr�an ser enviados al servidor centralizado donde podr�a ser analizado autom�ticamente con mayores recursos inform�ticos o ser trasladado a un analista humano si el dictamen autom�tico no es concluyente.

Esta realimentaci�n constante, entre PCs y servidores centralizados que
permite el "cloud computing", est� produciendo listas negras y blancas
con millones de firmas o registros que ser�an inviables tener de forma
local en un PC, y nos acercan un poco m�s a la utop�a del antivirus que
es capaz de detectar casi todo.

No ser�a de extra�ar que a corto o medio plazo, dado un an�lisis a
demanda de un disco duro, un antivirus pudiera llegar a darnos un log
completo (identificando todos los ficheros), indicando cuales son
benignos seg�n su lista blanca, cuales son malware seg�n su lista negra,
y aplicando un coeficiente de mayor o menor peligrosidad seg�n
heur�stica a los archivos desconocidos.

Volviendo a nuestro portero, imaginemos que la discoteca ha contratado
un sistema de reconocimiento facial que conecta autom�ticamente a un
servidor centralizado que mantiene una gran base de datos de personas y
sus antecedentes. Una c�mara en la puerta autom�ticamente va capturando im�genes de las caras de las personas que quieren entrar, las env�a al
servidor centralizado donde se compara con su base de datos, y devuelve
al portero en tiempo real si es alguien de confianza, si es alguien problem�tico, o si no tiene informaci�n de esa persona.

El portero puede ahora, de forma instant�nea, permitir o denegar la
entrada seg�n la respuesta del sistema, y s�lo tendr� que utilizar su heur�stica con unas pocas personas (las que el sistema no reconozca). Al
ser pocas personas a las que debe aplicar la heur�stica podr� hacerlo
con m�s detenimiento, desde pedir documentaci�n a cachearla, actuaciones
que antes no pod�a realizar de forma indiscriminada por un problema de
volumen y recursos. Si detecta que un desconocido lleva un arma, adem�s
de impedirle la entrada al local, se informa autom�ticamente al servidor centralizado que mantiene la base de datos, realimentando el sistema.

Como el mismo servidor centralizado da servicio a muchas discotecas, el
sistema se alimenta de la informaci�n y actuaciones individuales de
muchos porteros en tiempo real. Adem�s recoge informaci�n adicional que
puede ser �til a la hora de correlacionar datos.

Visto as� esta estrategia parece un avance importante para el mundo de
lo antivirus, pero no es la panacea. El problema sigue siendo el mismo, dictaminar si un fichero es malicioso o no. Incluso puede que los
errores al dictaminar sean m�s graves, si marcamos por error que un
archivo es benigno y se cataloga en la lista blanca es m�s que probable
que se deje actuar a ese c�digo en cualquier ordenador local a sus
anchas o, en el mejor de los casos, aplic�ndole an�lisis heur�sticos o
de comportamiento m�s relajados en el sistema local. Imaginemos un
delincuente que est� marcado como confiable en el sistema de
reconocimiento facial, entrar�a a todas las discotecas autom�ticamente y
el portero no se molestar�a en prestarle mayor atenci�n.

Los servidores centralizados deber�an tener mecanismos de rean�lisis y depuraci�n de sus clasificaciones, para detectar errores tanto de
malware que se haya asignado a las listas blancas como de software
leg�timo que han entrado por error en las listas negras. Tarea no
sencilla si tenemos en cuenta los vol�menes en los que pueden moverse
las colecciones de ficheros, lo que implica automatizaci�n y por ende dict�menes con un margen de error no despreciable.

Por lo tanto estos nuevos antivirus que tienden a intentar identificarlo
todo, tanto el malware como los ficheros leg�timos, no necesariamente
tienen que ser m�s fiables. Una cosa es que lo identifiquen todo o casi
todo, otra cosa es que esa identificaci�n sea correcta. Lo que si es
cierto es que las estrategias basadas en el "cloud computing" suponen un
plus importante en la detecci�n del malware, especialmente con
espec�menes muy nuevos, dada la actualizaci�n en tiempo real de las
bases de datos que se consultan y la correlaci�n centralizada de datos
que se puede realizar gracias a la realimentaci�n constante que producen
los antivirus conectados al servicio.

En definitiva, el "cloud computing" y el uso masivo de listas blancas
son una capa m�s a sumar al antivirus tradicional, pero no deber�an por
si solos convertirse en soluci�n de seguridad. Sus beneficios se pueden
notar ya en las primeras soluciones antivirus que lo est�n implantando,
sus debilidades tampoco se har�n esperar.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3687/comentar

Bernardo Quintero
bernardo@hispasec.com

Tal d�a como hoy:
-----------------

27/11/2007: Ejecuci�n de c�digo arbitrario en Apple Quicktime
http://www.hispasec.com/unaaldia/3321

27/11/2006: M�ltiples denegaciones locales de servicio en Mac OS X
http://www.hispasec.com/unaaldia/2956

27/11/2005: Desbordamiento de b�fer en traceroute de Sun Solaris 10
http://www.hispasec.com/unaaldia/2591

27/11/2004: Vulnerabilidad en Citrix 8.0 y anteriores
http://www.hispasec.com/unaaldia/2226

27/11/2003: Nuevos contenidos en CriptoRed (noviembre 2003)
http://www.hispasec.com/unaaldia/1859

27/11/2002: Puerta trasera en Alcatel OmniSwitch 7700 y 7800
http://www.hispasec.com/unaaldia/1494

27/11/2001: "BadTrans.B": preguntas y respuestas
http://www.hispasec.com/unaaldia/1129

27/11/2000: El gusano "Req" roba informaci�n de un banco de Suiza
http://www.hispasec.com/unaaldia/764

27/11/1999: Resumen de Bugtraq del 21-11-1999 al 27-11-1999
http://www.hispasec.com/unaaldia/396

27/11/1998: El peligro de los troyanos
http://www.hispasec.com/unaaldia/31

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	74
Nodes:	8 (0 / 8)
Uptime:	29:14:44
Calls:	1,495
Files:	17,895
Messages:	65,844

=?iso-8859-1?q?una-al-dia_=2827/11/2008=29_El_antivirus_que_lo_detecta_

Who's Online

System Info