Heurístico ¿Funciona de verdad tal como ofrecen las compañias de AntiVirus?

3 07 2009

Últimamente se lee mucho eso de ‘Heuristic Mode‘ (Modo Heurístico), pues bien, BitDefender, Norton y demás compañías de Anti Virus ofrecen este típo de protección pero, hasta qué punto es segura?

Los algoritmos heurísticos que usan los AntiVirus a día de hoy sólo se basan en reglas predefinidas, pasos que, con los conocimientos de los virus anteriores se crean reglas en tiempo real para poder ‘neutralizar’ el efecto del virus desconocido.

Aunque suene a desengaño, el modo heurístico de los Antivirus no es más que una forma de “intentar evitar” amenazas recientes, buscando una “posible (que no  necesariamente correcta)” forma de eliminarlos. Pongamos un ejemplo de como funcionan los algoritmos heurísticos hoy en día;

Supongamos que un día existió ‘DobleGusanoMix2001″, el mismo lo que hacía era, modificar el registro para cambiar las páginas de inicio actuales por otras falsas ó con publicidad (Hijacking), registraba todas las pulsaciones en un archivo y las exportaba a un archivo de texto para, posteriormente, enviarlas vía IRC (Internet Relay Chat) a su autor con la finalidad de tener todas las claves almacenadas y tener acceso a las mismas. Pues bien, imaginemos que hoy se publicase el “DobleGusanoMix2009”, éste es su variante ‘mayor’, ha aprendido de sus errores en el pasado como por ejemplo almacenar las contraseñas en un archivo de texto en modo visible y ha pasado a almacenarlo en archivos temporales cambiando secuencialmente el nombre del archivo cada ‘X’ tiempo. Nosotros y nuestro fabuloso ‘QuitaBichoQueTeMeto v2.020.2390’ con modo heurístico activado, al encontrar el virus pero NO reconocerlo por la firma (todos los virus llevan una especie de ‘firma’ que los hace reconocibles), de modo totalmente independiente intenta analzar la amenaza buscando ‘similitudes’ con otros virus del pasado y controlando las actividades del proceso (virus actual). Como ya hemos dicho el ‘DobleGusanoMix2009’ ya no guarda un archivo de texto con las contraseñas, lo cual ya hace que el Antivirus dude ante la búsqueda de escritura de archivos en ‘X’ directorio, el gusano ya no abre conexión de IRC permanente atraves del puerto 6667 sino que, cada 33 días conecta al IRC para ‘hablar’ con su dueño y así informarle, ahora támpoco modifica el registro en el momento de la instalación sino que, para evitar ser detectado, muestra Pop-Ups (Ventanas Emergentes) al usuario mientras navega para que parezca un pop-up del mismo navegador con la intención de crear confusión y así recibir la “Confirmación” para que sea una interacción consentida y que con un poco de suerte, el antivirus no percate diferencias. Con este último paso, nuestro pequeño ‘monstruo’ ha modificado la página de inicio de la víctima apuntando o bien a una réplica de Google (recordar que para que fuera una réplica totalmente creible tendría que modificar el archivo hosts de Windows).

Con todas estas ‘mejoras’ en el virus, el antivirus podría ser capaz de detectar en parte el código del mismo si tuvieran similitudes, el cálculo de hash, etcétera. Ahora la duda nos asalta, qué algoritmo tan maravilloso y asombroso es capaz de detectar la mala fé del ‘proceso’ que tan solo modifica el registro previa aceptación del usuario y sólo realiza conexiones cada 33 días? el código del virus no lo hemos comprobado ya que las heurísticas comprueban las acciones de los procesos en tiempo real, no el código que seguramente esté encriptado como la mayoría de los programas hoy en día.

Sería capaz cualquier compañía de Antivirus de crear un algoritmo que sea capaz de distinguir entre una aplicación malintencionada y una normal?

Este texto tan solo intenta simplificar lo que las compañías de Antivirus nos venden en sus nuevas versiones como si fuera algo milagroso, en ningún caso intento desprestigiar, en cualquier caso, intento explicar a la gente de una forma clara y sencilla lo que se ofrece como solución definitiva.

Cualquier añadido/Consejo será bien recibido, espero vuestros comentarios.





¿Anónimo en la red? ¿Imposible? No del todo

7 12 2008

Ser anónimo en la red es bastante dificil, ya que cada vez que accedemos a un servidor HTTP (Una web convencional), el propio servidor está “dejando” una cookie en nuestro equipo con múltiples funcionalidades; Recordar nuestra última visita, recordar las preferencias, etc.. El mismo servidor “registra” (Logea) todas las conexiones que haya realizado con los clientes (Véase Usuarios corrientes), con lo cual registra nuestra dirección IP en su log, así podrían localizar de donde somos, (País, Provincia, etc..).

A su vez, nuestro propio navegador guarda un registro sobre las páginas visitas (Historial), las contraseñas guardadas y las cookies que el servidor nos manda. Lo cierto es que no podemos evitar que el servidor almacene cookies en nuestro equipo, o el mismo servidor almacene a que hora y desde qué IP fué realizada la visita, pero sí podemos mantener un poco el anonimato gracias a herramientas como Tor, con Tor usaremos un proxy que a su vez trabajará en una red distribuida en repetidores.

Luego comentaré los contras que tiene usar Tor para por ejemplo comprobar el eMail, realizar transacciones, manejar cuentas importantes, etc..

Tor trabaja de forma que, nuestras peticiones sean realizadas mediante nodos, con lo cuál no estaríamos haciendolas directamente.

SIN Tor:

Nosotros <— Petición Normal —-> Google.com

CON Tor:

Nosotros <—- Repetidor uno con enlace encriptado —->  <— Repetidor dos con enlace encriptado —->  […] y finalmente <—–> Google.com

Es un esquema simple de como funciona la red de Tor, enviamos paquetes encriptados a diferentes repetidores para despues recibir la respuesta.

A estas alturas imagino que despues de ver el esquema sabrás cuales son los contras de usar Tor para por ejemplo, entrar en tu banco y realizar movimientos. Sino es así, es bastante simple.

Cuando tu ingresas tu nombre de usuario y contraseña, estás enviandola directamente al servidor de tu banco, en cambio con Tor, estás enviandola atraves de muchos repetidores. Con esto no quiero decir que Tor robe datos, pero los repeditores pueden ser instalados por cualquiera y aunque no se envia en su totalidad los paquetes a un solo nodo sino que se envian a diferentes nodos un trozo del paquete final, podría darse la casualidad de que topases con un repetidor que “esnife” esa información, ya que los repetidores son nada más y nada menos que usuarios contribuyendo con la red Tor para que sea más fluida la carga. Lo que quiero decir es, que Tor es un proxy ‘distribuido’, para los más nuevos, es como si cojes el portatil de un desconocido y entras en tu banco através de internet desde su ordenador. Si ese ‘desconocido’ tuviera un ‘esnifador de paquetes‘ (Del Inglés; Packet Sniffer), podría obtener de manera no muy legal los datos de conexión y aunque, la mayoría de los bancos de hoy en día usan conexiones SSL (Secure Socket Layer), no es que sean de lo más fiables.

En resumidas cuentas, usa Tor para mantener el anonimato, pero sólo para navegar por internet y comprobar algún foro sin importancia.

Tor para Linux:

Ubuntu : sudo aptitude install tor

Otras:  Lista de paquetes para otras distribuciones

Código fuente:  Tor 0.2.0.32 (Estable) /\ Tor 0.2.1.7 (Alpha)

gowtotitle-copy





Dúo Indispensable para tu PC

17 10 2008

Bien en este artículo os traigo un pequeño dúo de herramientas que no nos deberían faltar a los más exigentes en cuanto a utilidades se refiere. Claro está que hablo de herramientas en el ámbito de Linux, aunque también he de decir que algunas (o la mayoría) están disponibles en su versión Win32.

Empezemos por Woof, un simple pero versatil servidor que tan solo comparte un archivo por sesión.

Woof es acrónimo de Web Offer One File (Una única oferta de archivo vía web).

Por ejemplo cuando estás en el trabajo, en clase o bien en casa de algún/alguna conocido/a y tu tienes un archivo que necesitas compartir, si el archivo es demasiado pesado para subirlo a un servidor de ficheros como podría ser RapidShare, aquí entra en acción nuestro amigo Woof, podemos iniciar el servidor con un único archivo a compartir sin mayor complicación.

(He de decir que conocí esta utilidad gracias a la revista Linux Magazine a la cuál soy habitual.)

Los requisitos para empezar a usarlo es tener Python instalado, y si vamos a compartir directorios necesitaremos tar. (Para los despistados, Python es un intérprete de el lenguaje de programación Python que, por defecto, suele venir instalado en la mayoría de las distribuciones al igual que tar que es el encargado de gestionar los archivos comprimidos).

A compartir sea dicho!

El uso es bastante sencillo, aquí expongo algunos de los comandos que usaremos.
woof -i Dirección IP -p Puerto -c veces/contador [-u] Fichero/Directorio

El argumento -i como podreís apreciar es para indicar la IP en la cuál se ofrece el fichero.
‘-p’ Indica el puerto en el cuál se ejecutará el servidor, ‘-c’ contará las veces que ese fichero se servirá.
Y por último, ‘-u’ es usado si queremos compartir un tar descomprimido.

Un ejemplo;

woof -i 69.96.69.96 -p 80 -c 3 dir.tar.gz

Ahora comenzamos con TrueCrypt, TrueCrypt es una aplicación o suite de encriptación,
la cuál nos ayudará a mantener nuestras particiones seguras de vistazos indeseados.
TrueCrypt tiene una interface gráfica bastante familiar y no requiere de un gran conocimiento para
comenzar a usarla.

Algunas de sus funcionalidades;

  • Crea un disco virtual encriptado en un archivo y lo monta como si fuera físico.
  • Encripta todo un disco duro o un pendrive.
  • Encripta una partición donde esté instalado algún sistema operativo.
  • La encriptación es automática, en tiempo real (al vuelo) y transparente.
  • Ofrece dos opciones en caso de que te veas obligado a revelar tu contraseña;1) Disco Oculto (Estenografía) y sistema operativo oculto.

    2) No se puede identificar el volumen TrueCrypt (los volúmenes no pueden ser distinguidos de otro típo de datos normales y corrientes).

  • Algoritmos de encriptación; AES-256, Serpent, y Twofish. Modo de operaciones: XTS.

Sobre TrueCrypt no puedo contar mucho más, ya que todavía no le he metido mano demasiado tiempo pero por lo que se puede ver,
promete ser un gran programa 🙂

Y como novedad de WordPress, he puesto una pequeña encuesta que no cuesta nada responder, no me seais vagos ;).