Popular channels

(Info) Heurística en los Antivirus

Heurística en los antivirus


Cuando se habla de seguridad en un sistema operativo es muy frecuente escuchar las siguientes frases:
"El sistema debería tener un firewall instalado"
"El sistema debería tener las actualizaciones al día"
"El sistema debería tener un antivirus instalado"
"El antivirus debería estar actualizado"
Todo lo anterior es correcto y quizá sólo se tendría que cambiar la palabra "debería" por "deberá", sobre todo si se habla de un sistema operativo Windows, si bien la práctica y la experiencia demuestran que cuanto más usado es un sistema, existirá mayor posibilidad de que el mismo sea blanco de ataques. Esto último sin duda está ocurriendo con Mac OX, Linux y los sistemas operativos para móviles, que al volverse populares serán utilizados como futura base de desarrollo de malware.

Más allá de estos consejos es bueno saber que un laboratorio recibe diariamente miles de muestras de nuevos códigos dañinos o miles de variantes de un mismo código. Este es el caso de la última epidemia de Stration en donde sus variantes llegaron a ser tantas que el 30% de los correos estaba infectado por este gusano, como muestra el siguiente gráfico.





Desde el punto de vista de la empresa antivirus, y en un mundo ficticio en donde sólo se trabajara con firmas de virus, se debería realizar el análisis de cada muestra para conocer de que variante se trata o bien es un nuevo código dañino no detectado hasta el momento.

Como es fácil imaginar no existe un laboratorio capaz de controlar semejante volumen de muestras, y si existe la solución de tener a cientos de expertos analizando código, no es una solución escalable en el tiempo (no se pueden seguir contratando expertos cada vez que aumenta el caudal de muestras).

Desde el punto de vista del usuario, la utilización de firmas, como único método de reconocimiento de malware, tampoco es una solución óptima, porque puede suceder que el usuario tenga instalado su antivirus, pero por razones diversas el mismo no se actualice (fallo en la conexión a Internet, por ejemplo).

También puede ocurrir que el usuario mantenga su antivirus actualizado, pero ocurra una demora en la detección por parte de la empresa, ya que no todas las organizaciones responden con la misma velocidad ante todas las amenazas.

Como puede verse, ya sea desde el punto de vista de la empresa antivirus como desde los beneficios para el usuario, el uso de firmas no es la alternativa más eficiente.

Para solventar este problema la industria antivirus utiliza la heurística, que mediante técnicas inteligentes puede determinar con cierto grado de eficacia si un código que intenta ejecutarse puede ser dañino para el sistema o no.

Así ya no es necesario detectar las miles de muestras y variantes de cada malware que aparece sino que basándose en el comportamiento, semejanzas, técnicas utilizadas, comandos ejecutados, partes del sistema modificado; se puede afirmar que un programa hará daño al sistema si el mismo es ejecutado.

Incluso puede afirmarse que ese programa es variante de otro ya detectado previamente y con esto las casas antivirus evitan la inclusión de la nueva variante a su base de datos así como el usuario permanece protegido aún sin actualizar su antivirus.

La heurística ha pasado a convertirse en un elemento imprescindible en la lucha contra los códigos dañinos, ya que es la única forma de asegurar que el usuario estará protegido en todo momento, sin depender de las actualizaciones ni de la velocidad de la casa antivirus para agregar una firma determinada a la base de datos.

El caso Stration demuestra esta afirmación con creces. Las miles de variantes detectadas de este código malicioso no hubieran podido ser detectadas a tiempo sin una solución heurística eficiente. Las soluciones reactivas están quedando en el tiempo. De esto hablamos cuando nombramos la proactividad, de actuar antes que la desgracia ocurra.
0
0
0
0No comments yet