Heurístico ¿Funciona de verdad tal como ofrecen las compañias de AntiVirus?

3 07 2009

Últimamente se lee mucho eso de ‘Heuristic Mode‘ (Modo Heurístico), pues bien, BitDefender, Norton y demás compañías de Anti Virus ofrecen este típo de protección pero, hasta qué punto es segura?

Los algoritmos heurísticos que usan los AntiVirus a día de hoy sólo se basan en reglas predefinidas, pasos que, con los conocimientos de los virus anteriores se crean reglas en tiempo real para poder ‘neutralizar’ el efecto del virus desconocido.

Aunque suene a desengaño, el modo heurístico de los Antivirus no es más que una forma de “intentar evitar” amenazas recientes, buscando una “posible (que no  necesariamente correcta)” forma de eliminarlos. Pongamos un ejemplo de como funcionan los algoritmos heurísticos hoy en día;

Supongamos que un día existió ‘DobleGusanoMix2001″, el mismo lo que hacía era, modificar el registro para cambiar las páginas de inicio actuales por otras falsas ó con publicidad (Hijacking), registraba todas las pulsaciones en un archivo y las exportaba a un archivo de texto para, posteriormente, enviarlas vía IRC (Internet Relay Chat) a su autor con la finalidad de tener todas las claves almacenadas y tener acceso a las mismas. Pues bien, imaginemos que hoy se publicase el “DobleGusanoMix2009”, éste es su variante ‘mayor’, ha aprendido de sus errores en el pasado como por ejemplo almacenar las contraseñas en un archivo de texto en modo visible y ha pasado a almacenarlo en archivos temporales cambiando secuencialmente el nombre del archivo cada ‘X’ tiempo. Nosotros y nuestro fabuloso ‘QuitaBichoQueTeMeto v2.020.2390’ con modo heurístico activado, al encontrar el virus pero NO reconocerlo por la firma (todos los virus llevan una especie de ‘firma’ que los hace reconocibles), de modo totalmente independiente intenta analzar la amenaza buscando ‘similitudes’ con otros virus del pasado y controlando las actividades del proceso (virus actual). Como ya hemos dicho el ‘DobleGusanoMix2009’ ya no guarda un archivo de texto con las contraseñas, lo cual ya hace que el Antivirus dude ante la búsqueda de escritura de archivos en ‘X’ directorio, el gusano ya no abre conexión de IRC permanente atraves del puerto 6667 sino que, cada 33 días conecta al IRC para ‘hablar’ con su dueño y así informarle, ahora támpoco modifica el registro en el momento de la instalación sino que, para evitar ser detectado, muestra Pop-Ups (Ventanas Emergentes) al usuario mientras navega para que parezca un pop-up del mismo navegador con la intención de crear confusión y así recibir la “Confirmación” para que sea una interacción consentida y que con un poco de suerte, el antivirus no percate diferencias. Con este último paso, nuestro pequeño ‘monstruo’ ha modificado la página de inicio de la víctima apuntando o bien a una réplica de Google (recordar que para que fuera una réplica totalmente creible tendría que modificar el archivo hosts de Windows).

Con todas estas ‘mejoras’ en el virus, el antivirus podría ser capaz de detectar en parte el código del mismo si tuvieran similitudes, el cálculo de hash, etcétera. Ahora la duda nos asalta, qué algoritmo tan maravilloso y asombroso es capaz de detectar la mala fé del ‘proceso’ que tan solo modifica el registro previa aceptación del usuario y sólo realiza conexiones cada 33 días? el código del virus no lo hemos comprobado ya que las heurísticas comprueban las acciones de los procesos en tiempo real, no el código que seguramente esté encriptado como la mayoría de los programas hoy en día.

Sería capaz cualquier compañía de Antivirus de crear un algoritmo que sea capaz de distinguir entre una aplicación malintencionada y una normal?

Este texto tan solo intenta simplificar lo que las compañías de Antivirus nos venden en sus nuevas versiones como si fuera algo milagroso, en ningún caso intento desprestigiar, en cualquier caso, intento explicar a la gente de una forma clara y sencilla lo que se ofrece como solución definitiva.

Cualquier añadido/Consejo será bien recibido, espero vuestros comentarios.

Anuncios




GoPlay Encuentra los Paquetes para Debian ó Distribuciones Derivadas

20 04 2009

Esta vez, os traigo un artículo que leyendo en UbuntuLife, me he dicho hay que postearlo.

Pues bien, se trata de un gestor de paquetes para Debian (ó Distribuciones Derivadas como Ubuntu, etcétera).  ¿Qué novedad tiene frente al típico Gestor de Paquetes Gráficos? Pues, éste incluye imágenes sobre los propios programas a instalar, así podemos echar un vistazo a la “pinta” que tiene el mismo. Mediante los DebTags (Etiquetas  de Software en Debian), muestra una lista de programas que estén en la misma categoría.

La instalación es símple, debemos activar los repositorios Universe (En Ubuntu) y escribir en el terminal:

~$ sudo apt-get install goplay

Los comandos que usaremos serán:

goplay: Muestra una lísta de Juegos disponibles.
goadmin: Muestra la lísta de paquetes de Administración.
golearn: Muestra la lísta de paquetes Educativos.
gonet: Muestra la lísta de paquetes para Internet.
gooffice: Muestra paquetes de office (OpenOffice, Hojas de Cálculo, etc).
gosafe: Muestra la lísta de paquetes de Seguridad (iptables, ufw, firestarter, etcétera).
goweb: Muestra paquetes relacionados con el Web.

Artículo Original de UbuntuLife





Firefox 3 Todos Contribuyendo para el Record

4 06 2008

La verdad esque no va a ser nada dificil, pero Firefox 3 quiere batir el record guinness del software más descargado en 24 horas durante el Download Day 2008! Lo que tenemos que hacer es simplemente descargar nuestro instalador, ya bien seas usuario de Linux, de Windows, o de Mac OS X, da igual, lo que importa esque Firefox 3 sea el software más descargado en esas 24 horas! ya bien sea quedando con tus compañeros, amigos, familiares para descargar todos juntos la nueva release de Firefox 3 en los anuncios de esa serie que tanto os tiene enganchados o bien durante esa película en DVD que podeís darle a pause!

Colaborad con la causa, no hay que hacer nada más que descargar el instalado de Firefox 3!
La causa merece la pena.

Download Day 2008

Animaros tod@s a descargar la nueva flamante versión de Firefox cuánto sea publicada!
De todos modos la fecha de publicación de Firefox 3 será publicada lo antes posible en SpreadFirefox (Difunde Firefox en Español). Asíque estaros atentos/as tod@s!





Meme: ¿Cuanto software privativo (no libre) tienes instalado?

19 03 2008

Bueno recibí un meme de mi compañero N0xTrUm (Por cierto perdona por tardar en publicarlo), en el cuál incluia un nuevo script que nos dice cuántos programas privativos usamos….. Curioso 🙂

Es simple los usuarios de Ubuntu/Debian podeís poner en vuestras terminales;
sudo apt-get install vrms

Seguidamente podeís ejecutarlo en el terminal y os mostrará el resultado, No seais timidos, nadie se libra del software privativo…. 😉

Vale N0xTrUm, mi screen aquí va 😛

screen.png





GenLinux llega a las 1,000 visitas!!!

10 12 2007

Desde que abrí hasta el día de hoy, hemos llegado a las 1,000 visitas!
Escribo esta entrada para agradeceros a todos los que habeis entrado en el weblog y a todos los que tengo en mi BlogRoll (que podeis ver un poco más para abajo) por colaborar con las 1,000 visitas!

Espero que éste número crezca indefinidamente y llegemos al millón de visitas (algo que sería extraordinario). Gracias y recordaros que GenLinux es actualizado diariamente con las últimas noticias de Linux, Open Source, Ubuntu, y todo lo referente al mundo Software Libre.

Gracias y seguir entrando!