Antivirus. ¿Vivos o muertos?

Hola,

Hace unos días que el dúo Ranum & Schneier publicó su parecer sobre la salud de la industria antivirus. Podéis leer las dos opiniones en este enlace.

El texto es interesante, ya que cada cual defiende argumentos totalmente contrapuestos. Ranum poco más o menos que los ve prescindibles, y Schneier, más moderado, defiende que tienen su utilidad. Curioso, eso sí, que Bruce ponga como ejemplo a AVG como producto gratuito, o que Ranum diga que con lo que se ahorra en antivirus se compra una Xbox :)

Si tuviera que posicionarme, quizás me iría por la calle de en medio. En casi todos los escenarios en los que pienso los productos antivirus, aún lejos de suponer un remedio 100% efectivo, sí que proporcionan una capa de seguridad que incluso califico como aconsejable. En otros escenarios, quizás sí que vea a los antivirus como productos inútiles, y quizás también apostaría por métodos de lista blanca, aunque estos casos, al menos para mí, son mucho más limitados y numerosos que los primeros.

Que los antivirus han perdido desde hace tiempo la batalla es un hecho. Están inmersos en una carrera que hoy en día, por desgracia, no pueden ganar, pero no por ello hay que tildar como moribundas estas soluciones. Años atrás, y hablo de los 90, cuando tenía un PC-10 de Commodore, la batalla estaba aplastantemente dominada por las casas antivirus. Eran los tiempos donde el vshield.exe (la protección residente) era una opción (si usabas McAffee Viruscan, que era el producto que yo tenía). Las amenazas eran mayoritariamente virus chorra que se adueñaban del sector de arranque de los discos, aunque también existían amenazas más serias (que te provocaban pérdida de datos)

Pero como no podía ser de otro modo, todo cambia y evoluciona. Del antivirus de línea de comando hemos pasados a suites de protección integral, de amenazas chorras en el sector de arranque a troyanos financieros con técnicas avanzadas de camuflaje, y de virus a malware. Y lo que es peor: de pruebas de concepto de garaje a crimen organizado.

El cambio ha sido descomunal, no cabe duda, y buena parte de la culpa la tiene la creciente consumerización (mil perdones a la RAE) de la tecnología. Quizás los antivirus se han descolgado últimamente de la cabeza de la carrera, y todo parece indicar que no hay visos de que recuperen las posiciones perdidas, pero tampoco creo que la industria esté muerta.

No es momento para tirar de clichés triviales, léase «Pues en Linux no hay troyanos«. Tampoco te los comes con z/OS, AIX, Tru-64, IBM i, la familia BSD, HP-UX, A/UX, IRIX, DG/UX, Solaris, Ultrix, Reliant … ni con excentricidades como GNU/kFreeBSD o con una línea de comando GNU/Hurd. Pero eso ya lo sabemos. Centrémonos en dar solución a la familia Windows, que es la que tiene problemas con el malware, y no dejemos de mirar con el rabillo del ojo a Mac OS y su creciente ganancia de adeptos. Es importante pensar que las soluciones más atacadas lo son, fundamentalmente, porque son las más utilizadas, con lo que si queremos aportar quizás la mayoría agradezca soluciones distintas a «cámbiese de sistema operativo»

¿Listas blancas? Imposibles de gestionar en la gran mayoría de las instalaciones. ¿Antivirus perimetrales complementados en el escritorio? No garantizan nada. Tampoco podemos confiar en exceso en los métodos heurísticos, que quizás no han explotado a la altura que muchos esperaban y que están muy lejos de ofrecer porcentajes de detección aceptables.

Sinceramente, y el tiempo nos dará o quitará razones, creo que esta batalla sólo se puede ganar poniendo toda la carne en el asador en lo que a educación y concienciación del usuario se refiere. Entre tanto, seguiremos poniendo paños calientes en forma de listas blancas, antivirus y otras fórmulas magistrales. Y seguiremos debatiendo año tras año sobre de la salud de la industria antivirus.

Hacia los modelos antifraude basados en el análisis comportamental

Hola,

Acabo de leer en The Register que AVG avanza hacia la implantación de modelos comportamentales en sus productos antivirus de pago. La versión de 8.5 de AVG Internet Security, comercializada desde el pasado lunes, añade al producto tecnología basada en el análisis comportamental. Esta tecnología procede principalmente de la adquisición de Sana Security, cuya tecnología seguirá estando disponible como producto independiente comercializada bajo el nombre comercial AVG Identity Protection. Algo que imagino agradecerá la base de clientes de AVG, que se cifra, según la compañía, en 80 millones de usuarios.

El tiempo dirá si la tecnología de AVG es efectiva o no, pero de lo que no cabe duda es que la compañía, sin perder de vista sus resultados comerciales, ha realizado un loable esfuerzo para tratar de mitigar los impactos de los robos de identidad en todas sus variantes, especialmente, la doméstica. De todos modos no escribo esta noticia para hablar de AVG ni de sus bondades o puntos débiles, sino para extender el debate un poco más allá.

El principal mensaje que podemos obtener de la sofisticación del e-crime, los delitos tecnológicos y el fraude en general es que debemos tender, tarde o temprano, a los modelos de análisis especializado y basado en el estudio comportamental. Los jugadores que se queden en los modelos básicos (reactivos y preventivos basados en reglas estáticas) van a desaparecer del tablero más pronto que tarde, porque los resultados de sus servicios y productos serán ampliamente sobrepasados por los competidores que apuesten por tecnología basada en inteligencia. Esto es aplicable para todos las ramas de negocio de la industria de la seguridad, sea doméstica o empresarial, sean desarrollos in-house o suministrados por compañías especializadas. A día de hoy las soluciones heurísticas y comportamentales no terminan de desplazar a las puramente reactivas por varios motivos, siendo la falta de madurez de las últimas la principal culpable. A poco que maduren estas tecnologías, deben ir desplazando en relevancia a las soluciones clásicas, eso sí, sin llegar a eliminarlas, porque lo adecuado es generar soluciones complementarias donde se aprovechen los puntos fuertes de ambos planteamientos.

Imaginaos, por simplificar, un sistema operativo capaz de, mediante aprendizaje, conocer todas nuestras pautas: qué instalamos, cómo lo instalamos, a qué horas, qué servicios usamos, qué no usamos, qué hacemos y dejamos de hacer … es decir, un sistema capaz de conocer cómo nos comportamos cuando nos sentamos delante del teclado. Si el sistema detectase que nos salimos del patrón y que instalamos algo sospechoso procedente de un sitio igualmente inusual, sería posible detectar preventivamente un intento de compromiso. Qué duda cabe que articular esto es harto difícil, porque hay que centralizar las pautas comportamentales, impedir que puedan ser reveladas (imaginaos qué pasaría si el sistema queda expuesto y con él nuestros hábitos y comportamientos) y evitar a toda costa que el malware no pueda anular o desvirtuar ese motor de análisis comportamental. Todo esto hace que los modelos complejos comportamentales tengan muchos inconvenientes técnicos y legales, por aspectos como la privacidad de los usuarios, aunque en el mercado hay aproximaciones comerciales interesantes para los que desean dotar a sus equipos de una capa adicional de seguridad. De lo que no cabe duda es que el malware es incapaz, afortunadamente, de reproducir el comportamiento específico de un usuario en una máquina y entorno específicos, con lo que con un buen motor comportamental y un adecuado adiestramiento, siempre en la teoría, se lograrían mejores tasas de éxito.

Estos modelos comportamentales se empiezan a aplicar en la actualidad en servicios y productos de tecnología punta en los ámbitos de la prevención de delitos tecnológicos, y se lleva usando mucho tiempo (con las debidas excepciones, y de una manera mucho más espartana) en otros ámbitos como la gestión y prevención de lavado de dinero, donde es frecuente disponer de herramientas comportamentales básicas que basan su éxito en detectar abandonos del patrón habitual de comportamiento de, por ejemplo, un cliente y sus operaciones en cuenta corriente, o su operativa asociada al débito y crédito en medios de pago.

Lo que parece innegable es que la mejor manera de combatir la sofisticación del crimen es sofisticar las herramientas y la gestión para combatirlo. En este sentido quiero dar mi voto de confianza a los sistemas de análisis comportamental como claro futuro de las tecnologías antifraude en general. A día de hoy ya empieza a ser notorio que las tecnologías antifraude basadas en esquemas fijos (reglas) y no comportamentales (neuronales/decisionales) empiezan a fracasar, obteniendo tasas de éxito cada vez menores, y esto es especialmente visible en eventos de ataque en los que los atacantes conocen los patrones de detección y juegan a no vulnerar los umbrales de detección y las reglas definidas para la detección. Es el momento adecuado para ir transformándose a la par que se se transforman, día a día, los que por desgracia trabajan para sacar provecho ilegítimo de nuestros bienes.

Un saludo,