• Registrarse
  • Iniciar sesión


  • Resultados 1 al 9 de 9

    Secunia ha publicado una comparativa de suites de seguridad que ha levantado polemica

    Especialmente por la metodología escogida: en vez de utilizar distintos tipos de muestras de malware (como viene siendo lo habitual para comprobar los ratios de detección) , se han usado exploits creados para la ocasión ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Pregunta Secunia ha publicado una comparativa de suites de seguridad que ha levantado polemica



      Especialmente por la metodología escogida: en vez de utilizar distintos tipos de muestras de malware (como viene siendo lo habitual para comprobar los ratios de detección), se han usado exploits creados para la ocasión y páginas web modificadas para aprovechar estos exploits. Las casas antivirus no han salido muy bien paradas, pero en realidad es necesario matizar en extremo las conclusiones de esta comparativa.

      Las condiciones

      En total se han usado 300 exploits (144 archivos maliciosos y 156 páginas web modificadas). Los resultados dicen que ninguna de las suites consiguió el aprobado.

      De acuerdo con Secunia, las condiciones de los tests fueron las siguientes:

      1- Los archivos maliciosos fueron primero analizados al desempaquetar un archivo ZIP, en el que estaban contenidos, para comprobar la eficiencia del escáner al acceder en "tiempo real".

      2- Posteriormente la carpeta fue escaneada de forma manual para asegurarse de que fueran procesados todos los archivos.

      3- Las páginas web maliciosas fueron analizadas una por una usando Internet Explorer.

      Solo la suite de Norton, de las 12 analizadas, pasaba del 20% de detección, mientras que el resto no llegaba al 3%. Pero esto no significa nada.

      Las quejas

      Muchas casas antivirus y empresas del sector no están de acuerdo (con razón) con los resultados obtenidos. Utilizan los siguientes argumentos:

      * Los tests no se realizaron de forma completa. Lo ideal hubiera sido tener una máquina en la que estuvieran instaladas tanto la versión vulnerable del software a explotar como la suite de seguridad de Internet. El paso siguiente es intentar ejecutar el exploit en ese entorno y esperar a ver si es bloqueado o no.

      * Los tests se realizaron a demanda, es decir, se pasó el escáner sobre los archivos que contenían los exploits, pero no se ejecutaron. La única forma de detección posible, en esas circunstancias, es que exista una firma específica en el componente antivirus para detectar los exploits o que sean detectados por heurística.

      * Se han utilizado exploits ?de laboratorio?, especialmente creados para estos tests y diferentes de los que podrían circular por Internet en la actualidad.

      Por estas y otras razones alegan que el test puede ser orientativo únicamente a nivel del escáner, pero en ningún momento se puede juzgar la totalidad de la suite por los resultados obtenidos. También se defienden diciendo que, muchas de las características anti-exploit incluidas en las suites ni siguiera han entrado en juego, como son por ejemplo:

      * Virtualización y mecanismos de protección contra desbordamientos de búfer/pila/heap.

      * Incluso si los exploits fueran ejecutados, un HIPS (sistema de prevención de intrusiones basado en host), un IDS (sistema de detección de intrusos) o un firewall podrían servir para bloquearlos.

      * Tampoco se ha tenido en cuenta el filtrado de URLs maliciosas ni de exploits del navegador.

      El CEO de AV-Test.org Andreas Marx, también apunta que falta información técnica sobre cómo se ha realizado el test, tal como por ejemplo: productos exactos y versiones utilizadas, fecha de la última actualización de los motores, o bajo qué entorno se han realizado las pruebas sobre las páginas web y HTML.

      La conclusión del informe, firmada por Thomas Kristensen, el CTO de Secunia: "Los resultados muestran que los fabricantes de productos de seguridad no se centran en vulnerabilidades. En vez de eso, tienen un enfoque mucho más tradicional, lo que deja a sus clientes expuestos al nuevo malware que explota vulnerabilidades. (...) El área está, más o menos, completamente ignorada por los fabricantes de productos de seguridad".

      Esta conclusión, junto con la omisión de ciertos detalles, no ha sentado nada bien a algunas personas influyentes dentro del sector y ha provocado las siguientes reacciones:

      * Alex Eckelberry de Sunbelt Software: "Este test es estúpido y una maniobra publicitaria inútil".

      * Pedro Bustamante de Panda Security: "Es como decir que vas a probar el ABS de un coche tirándolo por un acantilado de 200 metros de profundidad. Absurdo, sensacionalista y como mínimo engañoso".

      A todo esto, Kristensen se ha defendido, diciendo que: "Las Internet Security Suites son bastante útiles para la mayoría de usuarios. (...) Pero es mejor prevenir los ataques parcheando que confiar en otras medidas de seguridad por sí solas".

      Nuestras conclusiones

      Es necesario resaltar además algunos aspectos interesantes que observamos en este informe:

      * Está realizado desde una compañía que vende servicios de prevención de vulnerabilidades. Por tanto la conclusión extraída le es conveniente desde el punto de vista comercial. Lo que es peor, está enfocada desde todos los aspectos para que así sea. Por ejemplo: los exploits más usados por los atacantes sí suelen ser más reconocidos por las firmas de las soluciones antivirus que, obviamente, los creados para la ocasión. Esto no es nada nuevo, pasa exactamente igual con el malware: desde siempre, los virus ?recién creados? ha sido menos detectados por firmas en un principio. Tampoco es difícil crear específicamente troyanos "no detectados? por firmas. Los atacantes lo hacen todos los días. Otra cosa es que sean detectados por comportamiento en el sistema una vez ejecutados, que es el punto fuerte de las suites en estos momentos.

      * Las alegaciones desde las casas antivirus son legítimas. No es ningún secreto que el modelo de detección por firmas es cada vez "una parte más" de los antivirus, y no se puede juzgar a un producto exclusivamente por la detección estática de muestras. Es lo mismo que ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra son analizados de forma estática, por tanto pueden diferir de lo que un usuario obtiene con el antivirus instalado en su sistema. Las suites, cada vez más, se basan en el comportamiento de las muestras para detectar el malware, además de en las firmas. Es más, hacen una buena labor en ese sentido, y no es posible hoy en día evaluar un producto completo sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto.

      * Sí es cierto que el usuario medio suele ser víctima del marketing agresivo de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita. Por otro lado, este tipo de informes como el generado por Secunia polarizan la opinión: "¿Acaso, a pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada. Las soluciones antivirus son imprescindibles, pero es necesario combinarlas con otros métodos de prevención como son las actualizaciones de seguridad de los sistemas y programas, además del uso de cuentas no privilegiadas.

      Fuente

    2. #2
      Usuario Avatar de Matabufalez
      Registrado
      jun 2006
      Ubicación
      Cantabria,España
      Mensajes
      1.857

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      * Pedro Bustamante de Panda Security: "Es como decir que vas a probar el ABS de un coche tirándolo por un acantilado de 200 metros de profundidad. Absurdo, sensacionalista y como mínimo engañoso".

      La verdad es que estas comparativas son como eurovision,una farsa

      Saludos

    3. #3
      Ex-Colaborador Avatar de Hobbit
      Registrado
      sep 2005
      Ubicación
      Venezuela -en u
      Mensajes
      6.722

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      Aunque no sería la primera vez que lo digo y tampoco este test me parece de lo mejor, pero sigo pensado que los antivirus solo son programas que consumem memoria sin utilidad y solo eso.

      Las pruebas realizadas según el texto tampoco son muy explícitas, solo menciona que se analizaron varios exploits, pero no dice cuales ni como.


      Salu2
      Linux User Registered #444391

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de 123enter
      Registrado
      ene 2006
      Ubicación
      Peru
      Mensajes
      2.041

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      Pues ahora debo discrepar contigo, las muchas ocasiones en que estos programitas "que sólo consumen memoria y recursos" han logrado que computadoras completamente inservibles se vuelvan operativas de nuevo me permiten afirmar lo contrario. Y tú también lo sabes sólo que te has dejado llevar por el pesimismo.

      Otra cosa muy diferente es que yo me fíe completamente del software y asuma que porque tengo un antivirus o cualquier otra aplicación de seguridad ya estoy inmune a las amenazas.

      En la combinación de: prácticas de seguridad + aplicaciones de seguridad encontramos la protección más efectiva. La responsabilidad es compartida.

    5. #5
      Ex-Colaborador Avatar de Hobbit
      Registrado
      sep 2005
      Ubicación
      Venezuela -en u
      Mensajes
      6.722

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      Comentaré mi experiencia para que se aclare un poco más por qué dije esto:

      Hace poco tuve que formatear 2 veces varias máquinas porque se infectaban con virus, para ser específico virut.

      Todas las máquinas tenían NOD32 3.0, actualizado y configurado para eliminar lo que consiguieran; pero solo bastaba con poner un autorun.inf preconfigurado en un pendrive para ejecutar el virus y voilà! adiós efectividad del antivirus. Extrañamente el antivirus lo detecta pero no pasa de eso... No es tampoco un virus nuevo, así que no hay excusa para semejante atrocidad.

      En todos los casos me vi obligado a establecer restricciones y políticas de seguridad "más estrictas" de las que ya coloco, aunque con el amargo precio de poner en juego la usabilidad y a veces, funcionalidad del sistema. Hasta ahora, luego de eso 0 problemas.

      A nivel empresarial y de ciber las políticas que uso son mucho más severas, lo suficiente como para llevar 3 cibers a cargo y 2 empresas y no me quejo, son excelentes, tanto que hasta ahora no he visto casos de virus. Obviamente a este nivel no uso antivirus, solo firewall de ser necesario.

      Años atrás yo hablaba de que un antivirus te daba un 60% de protección, en la actualidad y con las experiencias que me he llevado podría decir que no ayudan ni un 20%. Obviamente, es necesario poner parte del usuario para mayor seguridad, pero si esa parte no existe, ¿como podríamos intentar cubrir un poco más la seguridad? Para mi, un antivirus no serviría en dicho caso.

      No uso antivirus en mis máquinas principales ni usaré; no porque use Linux como sistema Predeterminado, ya que puedo usar Windows también y me da igual; sino porque nunca he necesitado. Un vago ejemplo (muy vago tal vez) en el texto se habla de exploits y que los antivirus no pasaron las pruebas de detección de exploits. Hace poco se descubrió una vulnerabilidad en el servicio servidor de Windows, en teoría, aunque alguien hubiese tratado de explotarla en mi pc mediante un exploit, no habría podido, no porque yo posea un antivirus, sino porque ese servicio lo deshabilito en mi sistema así como unos 20 o 25 más por ser inseguros.

      Hablando de antivirus y Exploits, ¿a caso un antivirus debería detectar un exploit? o incluso, un Spyware. La respuesta es NO, pero claro, las empresas a fin de ofrecer más servicios incluyen funcionalidades extra pero no será especialistas en ello. Los resultados de secunia me parecen muy vagos también, sin muchos datos según este texto y le doy mucha razón a algunas respuestas de los desarrolladores de antivirus.

      Instalo antivirus en máquinas de clientes por compromiso o para dar una falsa sensación de seguridad al usuario, pero a fin de cuentas, si dejo solo eso el sistema no dura 1 hora sin infectarse, la mayoría se infecta por insertar el pendrive del amigo, del vecino o X. Luego están los que descargan miles de cosas por internet; cracks, seriales, idioticones, porno... La sorpresa es que muchos de esos malwares no son virus, es más, la mayoría no lo son, a muchos antivirus se les escapan y volvemos a lo mismo, adiós efectividad del antivirus.

      ¿Otro ejemplo? Los virus del MSN que parece como si cada hora les cambiaran 1 línea o menos de código y ya con eso muchos antivirus ni los miran ¿efectividad del antivirus?: casi nula. Lo que podría salvarte ahí sería intuición y educación del usuario o la tan antigua y nombrada heurística. Solución no tan efectiva sin antivirus: Quita privilegios de ejecución desde ficheros comprimidos y en el directorio Archivos Recibidos; por lo general al ver el mensaje "acceso denegado" se asustan y no tratan de ejecutar el archivo, ah! y sin mal gastar recursos del sistema.

      Obviamente, eso es mi experiencia con los clientes que trato, probablemente otros tengan otras experiencias, y por qué no? comentarlas no estaría mal :).


      Por eso mi conclusión de que no sirven los antivirus.



      Salu2
      Linux User Registered #444391

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de 123enter
      Registrado
      ene 2006
      Ubicación
      Peru
      Mensajes
      2.041

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      Es interesante tu postura, aunque no esté completamente de acuerdo con ella. Al fin y al cabo mi experiencia no puede ser tan vasta como la tuya. Yo soy más casero.

      Por ejemplo, mi hermano asiste a un Instituto Superior que tiene Wiffi para que todos los alumnos puedan acceder desde sus laptops a los recursos de la red de la institución. El resultado es que el servidor del sitio es una verdadera Arca de Noé: todo tipo de bichos conviven allí

      Cada vez que él intenta traspasar su información, generalmente desde el USB, a mi PC; salta el antivirus. La primera ocasión que ocurrió tenía el Kaspersky, y pasó lo que tú describes: detectó la amenaza pero no pudo eliminarla. Cada vez que intentaba eliminarlo el maldito desaparecia de la pantalla y el antivirus informaba que el archivo no existía o algo así. Por supuesto si reinsertaba el USB volvía a lanzar la alerta en un juego de gato y ratón insoportable. Sin embargo, debo resaltar que el antivirus hizo algo más que sólo detectar el bicho: evitó que mi PC se infectara, que al final es su trabajo básico o primario.

      Luego de emplear algunos trucos poco ortodoxos, como usar mi MacOSX (lo tengo en una máquina virtual) para conectar el USB en cuestión, allí estaba el maldito tan tranquilo y sin ejecutarse en un entorno Mac: lo aniquilé sin compasión. Era precisamente uno de tipo autorun.inf.

      Intrigado por la molestia y sorprendido que el Kaspersky no lo pudiera eliminar navegué en la red hasta encontrar algunos consejos de prevención, medidas de como repararlo, en resumen me informé detalladamente del tema.

      A la larga cambié el antivirus al Nod32, aunque no precisamente por causa del bicho, sino por otras consideraciones. El Nod32 no es tan bueno como el Kaspersky para detectar estas molestias de tipo USB.

      Con el Nod32 también tuve una experiencia con estos dispositivos USB. Un día el explorador empezó a tener un comportamiento errático: abría una nueva ventana cada vez que clickeaba sobre una carpeta. Lo peor es que al intentar reparar el problema se me desconfiguró algo que hizo que el wallpaper no se visualizara y en su lugar apareciera un mensaje de error, que ya no recuerdo. Tuve que tomar otras medidas más drásticas. Otra vez me lancé a la internet con los datos del error, aprendí que tenía que modificar una línea del registro de Windows y así nada más. Todo bien de nuevo.

      El antivirus no siempre te protege, pero en lo fundamental, evitar daños severos en las PCs me parece que todavía cumplen. De hecho, mis amigos tampoco formatean sus computadoras, les pido que visiten forospyware, que tengan cuidado, que tengan su antivirus al día, que por favor actualicen su Windows, que también incluyan un buen antispyware... es decir, lo básico que se espera de un usuario en un mundo digital como el que tenemos ahora.

      Pero respeto tu opinión, de hecho no eres el primero que me dice que navega sin antivirus, si uno busca por la red encontrará que muchos expertos en seguridad comentan que ellos no usan antivirus... pero claro, yo soy demasiado paranoico para dar ese paso.

      Saludos.
      Última edición por 123enter fecha: 26/10/08 a las 00:48:57

    7. #7
      Usuario Avatar de Rose Unicorn
      Registrado
      jun 2008
      Ubicación
      En la red
      Mensajes
      151

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      por eso es mejor tener un buen firewall (configuración personalisada obio) , saber usa un pc y listo sin antivirus...

    8. #8
      Ex-Colaborador Avatar de axl456
      Registrado
      mar 2007
      Ubicación
      South Park
      Mensajes
      7.132

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      Peor un firewall como evitara la ejecucion de un malware de transmisión por USB?
      Ubuntu User #20783
      Linux User Registered #453948

    9. #9
      Ex-Colaborador Avatar de Hobbit
      Registrado
      sep 2005
      Ubicación
      Venezuela -en u
      Mensajes
      6.722

      Re: Secunia ha publicado una comparativa de suites de seguridad que ha levantado pole

      Cita Originalmente publicado por axl456 Ver Mensaje
      Peor un firewall como evitara la ejecucion de un malware de transmisión por USB?
      Bueno, yo estoy de acuerdo con lo que dijo Rose Unicorn, porque:

      Si tienes buenas políticas y restricciones el antivirus no tiene sentido.

      Si nada se ejecuta desde un pendrive, cosa que es posible de hacer, el antivirus es solo un extra.

      Entonces, si el antivirus pierde su utilidad, lo que nos queda es cerrar los puertos y "ocultar" nuestro computador de ojos no deseables, en teoría, no podemos lograrlo con Windows sin firewall. Si si si, ya se, podemos usar el firewall de Windows, pero el firewall de Windows solo cierra los puertos, más no los oculta (lo que se conoce como DROP o limpieza de paquetes).

      He visto varios Firewalls actuales que traen protección contra ejecución de procesos sospechosos, diría que Outpost es uno u Online Armor; aunque no estoy del todo seguro. Ya se que lo nombro mucho, pero es el que más he usado por su fantásticas prestaciones de configuración; CoreForce si es uno de esos firewall. Hace algún tiempo hice unas pruebas; infecté un pendrive con esos virus de Autoun, activé CoreForce en modo restrictivo, accedí el pendrive y el firewall no dejó ni ejecutar ni copiar el virus al sistema. Por lo general, uso el firewall en nivel restrictivo donde casi nada se ejecuta sin mi permiso; por ejemplo, los nevagdores no pueden acceder ni ejecutar aplicaciones fuera de su directorio; tampoco pueden leer cookies sin que yo les de permisos, no hay permiso tampoco para copiar nada ejecutable a %temp%. Con el firewall de mi router evito los controles ActiveX y algunas cosas extra. Son varias capas de seguridad que aplico, si una falla la otra entra en acción, pero extrañamente la mayoría de las cosas que bloqueo, es con firewalls.

      Salu2
      Linux User Registered #444391

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.