Heurístico ¿Funciona de verdad tal como ofrecen las compañias de AntiVirus?

3 07 2009

Últimamente se lee mucho eso de ‘Heuristic Mode‘ (Modo Heurístico), pues bien, BitDefender, Norton y demás compañías de Anti Virus ofrecen este típo de protección pero, hasta qué punto es segura?

Los algoritmos heurísticos que usan los AntiVirus a día de hoy sólo se basan en reglas predefinidas, pasos que, con los conocimientos de los virus anteriores se crean reglas en tiempo real para poder ‘neutralizar’ el efecto del virus desconocido.

Aunque suene a desengaño, el modo heurístico de los Antivirus no es más que una forma de “intentar evitar” amenazas recientes, buscando una “posible (que no  necesariamente correcta)” forma de eliminarlos. Pongamos un ejemplo de como funcionan los algoritmos heurísticos hoy en día;

Supongamos que un día existió ‘DobleGusanoMix2001″, el mismo lo que hacía era, modificar el registro para cambiar las páginas de inicio actuales por otras falsas ó con publicidad (Hijacking), registraba todas las pulsaciones en un archivo y las exportaba a un archivo de texto para, posteriormente, enviarlas vía IRC (Internet Relay Chat) a su autor con la finalidad de tener todas las claves almacenadas y tener acceso a las mismas. Pues bien, imaginemos que hoy se publicase el “DobleGusanoMix2009”, éste es su variante ‘mayor’, ha aprendido de sus errores en el pasado como por ejemplo almacenar las contraseñas en un archivo de texto en modo visible y ha pasado a almacenarlo en archivos temporales cambiando secuencialmente el nombre del archivo cada ‘X’ tiempo. Nosotros y nuestro fabuloso ‘QuitaBichoQueTeMeto v2.020.2390’ con modo heurístico activado, al encontrar el virus pero NO reconocerlo por la firma (todos los virus llevan una especie de ‘firma’ que los hace reconocibles), de modo totalmente independiente intenta analzar la amenaza buscando ‘similitudes’ con otros virus del pasado y controlando las actividades del proceso (virus actual). Como ya hemos dicho el ‘DobleGusanoMix2009’ ya no guarda un archivo de texto con las contraseñas, lo cual ya hace que el Antivirus dude ante la búsqueda de escritura de archivos en ‘X’ directorio, el gusano ya no abre conexión de IRC permanente atraves del puerto 6667 sino que, cada 33 días conecta al IRC para ‘hablar’ con su dueño y así informarle, ahora támpoco modifica el registro en el momento de la instalación sino que, para evitar ser detectado, muestra Pop-Ups (Ventanas Emergentes) al usuario mientras navega para que parezca un pop-up del mismo navegador con la intención de crear confusión y así recibir la “Confirmación” para que sea una interacción consentida y que con un poco de suerte, el antivirus no percate diferencias. Con este último paso, nuestro pequeño ‘monstruo’ ha modificado la página de inicio de la víctima apuntando o bien a una réplica de Google (recordar que para que fuera una réplica totalmente creible tendría que modificar el archivo hosts de Windows).

Con todas estas ‘mejoras’ en el virus, el antivirus podría ser capaz de detectar en parte el código del mismo si tuvieran similitudes, el cálculo de hash, etcétera. Ahora la duda nos asalta, qué algoritmo tan maravilloso y asombroso es capaz de detectar la mala fé del ‘proceso’ que tan solo modifica el registro previa aceptación del usuario y sólo realiza conexiones cada 33 días? el código del virus no lo hemos comprobado ya que las heurísticas comprueban las acciones de los procesos en tiempo real, no el código que seguramente esté encriptado como la mayoría de los programas hoy en día.

Sería capaz cualquier compañía de Antivirus de crear un algoritmo que sea capaz de distinguir entre una aplicación malintencionada y una normal?

Este texto tan solo intenta simplificar lo que las compañías de Antivirus nos venden en sus nuevas versiones como si fuera algo milagroso, en ningún caso intento desprestigiar, en cualquier caso, intento explicar a la gente de una forma clara y sencilla lo que se ofrece como solución definitiva.

Cualquier añadido/Consejo será bien recibido, espero vuestros comentarios.

Anuncios




Lista de Clientes BitTorrent para Linux

22 02 2009

Muchas veces nos preguntamos si el cliente que nuestra distribución nos ofrece es completo y cumple con nuestras expectativas, pues bien, aquí intentaremos hacer una lista con los clientes BitTorrent más conocidos para Linux.

Aria2

aria2 es una utilidad de descarga. Los protocolos soportados son: HTTP(S), FTP, BitTorrent (DHT, PEX, MSE/PE), y Metalink.

Descarga: https://sourceforge.net/project/showfiles.php?group_id=159897

Bitflu

Bitflu es un cliente BitTorrent gratuito. El cliente ha sido programado en Perl para trabajar como daemon (demonio) (7x24h , como mlnet) en Linux, *BSD y probablemente OSX.

Descarga: http://bitflu.workaround.ch/dload.html

BitLet

Este applet (aplicación web) no requiere instalación alguna, trabaja en cualquier plataforma con un navegador con Java activado, muy útil si no estás en un ordenador personal y sólo quieres descargar el archivo sin mayor misterio.

BitThief

Para los/as más aventajados/as, el propio nombre nos ‘regala’  una pista sobre su atractivo principal, este pequeño cliente BitTorrent, es un PoC (Proof Of Concept, Prueba de concepto) sobre lo ‘vulnerable’  que es el protocolo BitTorrent. Este cliente tiene la peculiaridad que, falsea las estadísticas de subida (upload) para así poder descargar a una mayor velocidad. No es recomendable usarlo siempre, ya que si todos haríamos lo mismo, no habría nadie que compartiese realmente y eso llevaría a un desastre total, asíque usarlo con conocimiento.

Descarga: http://dcg.ethz.ch/projects/bitthief/dist/BitThief.jar (PS: Para los despistados;  java -jar BitThief.jar en un terminal)

BitTornado

Otro cliente BitTorrent que aunque no tenga nada especial por lo que destacar, es bastante flexible.

Descarga: http://www.bittornado.com/download.html

BitTyrant

BitTyrant es otro cliente más que en esta lísta no podía faltar. Entre otras cosasa, está optimizado para aumentar la velocidad de descarga y está basado en Azureus 2.5.

Descarga: http://bittyrant.cs.washington.edu/#downloads

BTG

Cliente BitTorrent programado en C++ y usando las librerias Rasterbar Libtorren.

Descarga: http://btg.berlios.de/#builds-and-releases

Deluge

Deluge es un cliente ligero, no usa demasiada memoria y no destaca por nada en especial.

Descarga: http://deluge-torrent.org/downloads.php

Gnome BitTorrent

Conocido Como GB ó GBT (También como GnomeBT), es el cliente ‘oficial’ de GNOME. Una interfaz (GUI) simple y un ‘look’ cuidado son sus principales características. Este también está descontinuado.

Descarga:  http://sourceforge.net/project/showfiles.php?group_id=93129

Vuze

Original del equipo Azureus, Vuze es su nueva idea para clientes BitTorrent,  Vuze a día de hoy es usado por muchísimas personas que les sigue gustando un cliente que use mucha memoria y no tenga nada especial más que un ‘home’ (Inicio) bastante ‘cool’ (Véase bonito). PS: No os molesteis en usarlo sino teneis suficiente memoria como para arrancar 400 copias de Windows Vista simultáneamente con Aero a tope vía VirtualBox.

Descarga: http://cache2.vuze.com/files/Vuze_Installer.tar.bz2

Se que me dejo algunos clientes sin nombrar, pero poco a poco intentaré mantener actualizada la lista. Las sugerencias son siempre bienvenidas.