¿Qué pasa si cogemos los datos que la gente de OITC/Castlecops tiene habilitados en esta página?
Que sale una tabla tal que así:
Entender la tabla es de lo más trivial: De cada 100 muestras que procese un antivirus, el número de la columna de porcentaje de detección define el número de muestras que han sido detectadas. Para Fortinet, puesto primero del ranking, de cada 100 encuentros con malware, el antivirus detectará 61 muestras. Las 39 restantes, se las traga y ni se entera.
Estas estadísticas son de índole acumulativa, habiendo empezado a consolidarse el recuento el pasado 2 de diciembre de 2006. Por lo que parece, se actualizan periódicamente y pueden ser consultadas aquí. Como bien dice la página, las estadísticas son válidas entre el momento de inicio del estudio y la última actualización. En el momento de escribir esto, esa fecha de última actualización es el 9 de febrero de 2007.
(*) El asterisco de la tabla es un dato que he introducido yo. Tomando como el mejor resultado el 61% de Fortinet, la columna refleja cuán peor es el antivirus comparando su tasa de detección respecto a la de Fortinet. Así por ejemplo, para AVG, posicionado en el número 20 de la lista, si dividimos la tasa del del mejor (61%) frente a la de AVG (22%) obtenemos 2,77. Esto implicaría que si nos basamos en esa foto, AVG detectaría 2,77 menos veces las muestras que detecta Fortinet.
Estos datos como siempre son discutibles, y no tienen que representar ni la realidad ni la calidad real de los productos enumerados. Cada producto tiene su ámbito de aplicación, y son muchos los factores que pueden hacer variar la concepción de calidad que tengamos de los mismos. El primer puesto de Fortinet me resulta, cuando menos, llamativo. También me chocan los resultados de dos productos consolidados, como NOD32 y Kaspersky, muy por debajo de mis expectativas.
Lo que me hace publicar estos datos es:
- La ausencia de datos sobre tasas de antivirus. Brillan por su ausencia, y son muy dispares siempre. No hay dos estadísticas iguales en el mundo de los antivirus. Cada cual experimenta a su manera, y así salen los resultados. El hecho de que estén por detrás Castlecops y OITC me hace pensar que antes de publicar esto se lo han pensado dos veces. Viniendo de ellos, merecen al menos mi consideración y el pensamiento inicial de que han elaborado el ranking con criterio.
- Que hayan sometido a los productos a malware de postín, como Trj/Banker.CGP, Trj/Banker.FJH, Trj/Banker.FKK y compañía (troyanos bancarios), así como otros bichos similares, como la familia Downloader, Clickers, Agent, Multidropper, Cryptor y otros insignes miembros del club del malware más letal que podamos encontrarnos (en la página está la relación completa). Para ver el rendimiento de un antivirus, en cuanto a detección, no podemos basarnos en las muestras trilladas. Hay que bombardearlos con las piezas de malware que realmente están haciendo la vida imposible al usuario.
- Que independientemente de lo ciertos que sean estos datos, lo que tienen que hacer los usuarios de Windows es entender que el antivirus es sólo una capa más de seguridad, y que si no va acompañada de buenas prácticas, no vale de nada. A la vista están los números, y lo peligroso que resultaría confiar sólo en el antivirus que hayamos instalado. Los antivirus son necesarios, pero deben ir acompañados de una actitud prudente por nuestra parte.
Si a estos pobres datos unimos el hecho de que adulterar los mecanismos de detección es ya de por sí fácil, el panorama pasa de gris oscuro a negro cabrón.
Datos como éstos me hacen seguir en mi línea de recomendar usar terminales GNU/Linux para los escritorios domésticos y corporativos. Es la manera más eficiente de atajar el problema del malware.
Vaya, no sabía de esta tabla. En su día le comenté la posibilidad de que publicaran resultados similares a tus excompañeros de Hispasec-VirusTotal y me contestaron que alguna de las casas podría negarse a que publicaran sus resultados lo cual es bastante lógico. Sobre todo si son malos
No obstante me da que pensar que los resultados no corresponden con la sensación que yo he tenido con los motores con los que he trabajado en los últimos años. Norman, por ejemplo, me dió la sensación de ser pésimo y eTrust, el que tienen ahora en mi empresa, me parece bastante eficiente. Se trata más de una impresión cualitativa que de un estudio cuantitativo como hacen estos chicos pero no se…
Comentario Autor: josemaria — 25 Febrero 2007 @ 8:24 am
José María,
A mi también me han resultado extraños los resultados. Lo digo en el cuerpo de la noticia, y lo recalco ahora. Algunos resultados me chirrían.
No obstante, se trata de datos que están ahí y que alguien ha recogido y tratado antes de colgarlos. Me he limitado simple y llanamente a reproducirlos, no con la idea de generar el “top definitivo”, sino con la intención de suscitar el debate. ¿Está bien la tabla? ¿Está mal la tabla? ¿Se queda muy lejos de la realidad? ¿Se queda muy cerca de la realidad?
Quizás algún día tengamos las respuestas. De momento, cada cual que se forme su idea
Comentario Autor: Sergio Hernando — 25 Febrero 2007 @ 11:24 am
Se me olvidaba. Enlazo otra fuente donde también hay una comparativa, que a mi particularmente no me gusta, porque calcula el “rank” total de una manera un tanto anárquica: con datos medios.
No obstante, es otro punto de vista. Os dejo el enlace:
http://www.virus.gr/english/fullxml/default.asp?id=82&mnu=82
Comentario Autor: Sergio Hernando — 25 Febrero 2007 @ 11:30 am
Si hoy sale a la calle un ejemplar de malware, pasarán días o incluso semanas hasta que lo detecten los antivirus. Cuando pilléis algo sospechoso (ej: un .exe en la caché del IE6 o un fichero .tmp que trata de acceder a Internet :-), lo metéis en un bote (zip
y lo subís a virustotal.com. El hecho de que ‘típicamente’ lo detecten un tercio de los 30 motores antivirus es significativo (no siempre son los mismos). Esperad 2 días y lo volvéis a subir; repetidlo a la semana. Hacedlo así con muchas muestras (las del vecino, si vuestros PC’s son ‘aburridos’, como el mío ;-). Cada cual que saque sus conclusiones. Yo lo tengo claro (una forma de decirlo: un antivirus no es suficiente).
En diciembre 2006 tuve la oportunidad de subir decenas de archivos sospechosos a virustotal, reales de un PC infectado (la caja de pandora, zombied, cutre-rootkit included). “los antivirus ya no tienen la efectividad de otros tiempos; simplemente no pueden seguir el ritmo”.
Por cierto, me alegra ver que de las pocas muestras que yo subí, acerté con uno de los top3 de la lista de arriba (yo uso 3 … el coste de mantener windows
Creo que Sergio tiene razón -> linux for desktop
Comentario Autor: jcbarreto — 25 Febrero 2007 @ 11:01 pm
jcbarreto,
los antivirus ya no tienen la efectividad de otros tiempos; simplemente no pueden seguir el ritmo
Creo que tienes toda la razón del mundo. Es evidente que si los motores siguieran el ritmo, pocos serían los ejemplares que escaparían a los análisis. Kaspersky se pronunció acerca de esto no hará mucho, reconociendo por fin lo que era un secreto a voces: los motores no dan abasto.
Esto abre otro interesante debate. ¿Justifica la velocidad de los creadores de malware que los motores estén por detrás? ¿Este argumento es razonado? ¿Hacen las casas inversiones suficientes para estar al día?
¿Justificaría que, a consecuencia de no estar al tanto de lo que hay, para un aspecto determinado en el que pueda estar especializado, no pudiera hacer un trabajo que me encargue la persona que me está pagando? A mí al menos me costaría decirle a esa persona “lo siento, no sé hacerlo, el mundo de la seguridad crece muy rápido.
Comentario Autor: Sergio Hernando — 25 Febrero 2007 @ 11:20 pm
Creo que Sergio tiene razón -> linux for desktop
Ten por seguro que si la situación fuera contraria, es decir, que la producción de malware estuviera orientada un 99,9% a Linux, recomendaría terminales Windows.
Y no se me caen los anillos por decirlo. Es una cuestión de sentido común.
Si en la acera por la que vas caminando hay socavones, lo sensato es que vayas por la otra acera. Y si en esa otra acera donde no había socavones empieza a haberlos, y la de enfrente está nuevamente transitable, lo normal es que regreses a la primera. Lo que no entiendo es la obstinación por caminar por una lado de la calle lleno de agujeros, estando el otro lado de la acera sin desperfecto alguno.
PD: No valen chistes con cambios de acera
Comentario Autor: Sergio Hernando — 25 Febrero 2007 @ 11:25 pm
Es buena la metáfora de las aceras.
Los depredadores [creadores de malware] se orientan a lo que más abunda ahí fuera [actualmente Windows, pero mañana puede ser linux]. Darwin [el de la selección natural] estaría encantado observando este nuevo ecosistema llamado Internet…
Como usuario avezados, nos podemos proteger. Pero ¿cómo se protege al ciudadano medio? y ¿cómo se protege a las empresas que dan servicios en Internet? Las tendencias no son halagüeñas. Lo digo porque la masa de gente usa “Windows Unpatched / Unprotected” (me entendéis) y son presa fácil para caer en una botnet (o varias…) o simplemente presa de keyloggers, etc, etc
¿Qué están haciendo los bancos ante esta tendencia, por ejemplo? Me refiero al crecimiento de botnets… ataques DDoS previsibles [perdón, confirmados] a:
- Servidores DNS
- Servicios bancarios
- Compañías antiphishing
Creo que no hace falta explicar [aquí] la relación entre el “malware cada vez menos detectable” (como lo muestran las tablas) y la intención de los ciber-delincuentes, muy bien organizados algunos de ellos.
Comentario Autor: jcbarreto — 26 Febrero 2007 @ 12:22 pm
Ah!, por cierto, otra cosa,
Aunque de forma muy simplificada, la mayoría de antivirus actuales se apoyan en “blacklists” [known malware]. Pero surgen otros que se basan en… “whitelists” [known goodware] y “greylists” [unknown yet].
como uno de los 7 primeros de la lista
Comentario Autor: jcbarreto — 26 Febrero 2007 @ 12:27 pm
Quote = [¿Justifica la velocidad de los creadores de malware que los motores estén por detrás? ¿Este argumento es razonado? ¿Hacen las casas inversiones suficientes para estar al día?]
Conozco la respuesta, la oí en una película de drogas
“La DEA tiene un presupuesto limitado; los capos de la droga no” [DEA = Drug Enforcement Administration]
Eso se traduce a “Las [pocas] compañías antivirus tienen un presupuesto [y recursos] limitados; los ciber-delincuentes no [cada vez son más, tienen más PC's secuestrados y casi nunca se recupera el dinero que roban]“.
Es un problema matemático-social. Que lo arregle John Nash.
Comentario Autor: jcbarreto — 26 Febrero 2007 @ 6:54 pm
jcbarreto,
Me apunto el símil de Traffic
Por cierto, los “quotes” se hacen con la etiqueta blockquote
Un saludo,
Comentario Autor: Sergio Hernando — 28 Febrero 2007 @ 9:22 pm