¿Son suficientes los antivirus basados sólo en firmas?

Así de tajante se muestra el amigo Dancho Danchev en su última contribución publicada en su weblog. Aunque pueda parecer que es un artículo que desmitifica la protección antivirus basada en firmas, nada más lejos de mis intenciones: todo lo contrario, son importantes, pero quizás deban complementarse con otros métodos.

Why relying on virus signatures simply doesn’t work anymore? es uno de estos comentarios sobre malware que te hacen pensar. Es de estos alegatos que rompe la inercia de la actividad de investigación en materia antivirus y que pone en jaque a los proveedores que sólo basan los métodos de detección en firmas (los que más)

Normalmente, cuando instalamos un antivirus poco o nada reparamos en datos como la tasa de detección, la tasa de falsos positivos, la rapidez de sus actualizaciones, etc. Nos limitamos a instalar y a sentirnos aliviados porque tenemos un antivirus corriendo en la máquina.

En lo que no pensamos es qué significa instalar un motor antivirus. Esa instalación significa que cedemos la custodia de nuestros activos, al menos de parte de ellos, a un tercero del cual nos fiamos. Significa sentarnos en el sofá mientras un señor en el que confiamos coge su perro y hace guardia en la entrada de la casa. Ese acto implica asumir que si el señor falla, nosotros nos veremos desprotegidos.

Danchev hace hincapié en un factor importante. Los métodos de detección. Estos métodos principalmente son dos: basados en hechos objetivos (detección por firmas, método reactivo en el que si la muestra tiene una huella que coincide con la que nuestro antivirus cataloga como malware, se detecta) y la heurística (un método no objetivo, sino basado en algoritmia)

Según el estándar ANSI/IEEE 100-1984, heurística es un método exploratorio basado en algoritmos, donde se penaliza la precisión obteniendo a cambio mejor rendimiento computacional. En los motores antivirus, los patrones sospechosos se traducen a algoritmos, los cuales se emplean para catalogar las muestras como víricas o no en función a una serie de parámetros sobre los que se tiene sospecha pertenezcan a un especimen de malware.

En matemáticas, y por ende en técnicas computacionales, las técnicas heurísticas son técnicas proactivas usadas en problemas en los que la complejidad de la solución algorítmica disponible es función exponencial de algún parámetro. Es decir, cuando la variabilidad de una muestra es muy alta y las mutaciones de un elemento son elevadas, la probabilidad de obtener una detección mediante firmas es muy pequeña, y en caso de haberla, es a costa de codificar en las tablas de huellas todas y cada una de las miles de variantes posibles. Es inabordable. En estos casos, lo recomendable es emplear heurística, bien sea por firmas genéricas comunes a una familia de especímenes, bien sea por reconocimiento de código compilado, desemsamblado, desempaquetamiento, etc. Todo esto viene muy bien explicado en la Wikipedia.

El problema de la heurística es obvio: ¿cómo de fiable es la detección? ¿cómo de apropiado es mi algoritmo para detectar muestras? ¿qué tasa de falsos positivos arroja? Se hace impepinable el empleo de evaluaciones retrospectivas, en las cuales una vez tenemos un volumen de muestras suficientemente amplio, verificamos si la detección sin firmas se aproxima mucho, poco o nada a la detección una vez conocidas y contempladas las firmas. Cuanto más se aproxime la tasa de detección a priori a la tasa a posteriori, y cuanto menor sea el índice de falsos positivos, mejor es la heurística.

Danchev alega en su artículo que las soluciones antivirus basadas en firmas no son suficientes. Danchev detecta problemas en las soluciones no heurísticas, basándose en las tasas de detecciones fallidas (número de muestras que pasan por la solución y no son catalogadas como perniciosas). Yo no soy un experto en la materia, pero leyendo sus conclusiones, da que pensar. Las evidencias, son evidencias. Si echamos un ojo a la tabla Excel de tiempos de respuesta ante diversos especímenes como Zotob, IRCWar o Bozari, resulta rápido comprobar que las soluciones con heurística salieron mejor paradas. La ventana de tiempo entre las soluciones más rápidas en la detección y las más tardías es preocupante: casi de dos días en muchos casos.

Llegados a este punto a mí me asalta una duda. ¿Es seguro confiar sólamente en una solución reactiva basada en firmas? ¿Debería plantearme el uso de una solución mixta, con detección por firmas y heurística? ¿Debería establecer dos capas de protección, una reactiva y otra proactiva, con distintos proveedores?

Sinceramente no sabría que responder. De momento me uno al planteamiento de Dancho, el cual recomienda fortalecer las detecciones por firmas con otros métodos preventivos y reactivos, como la heurística, la seguridad basada en políticas, el despliegue de sistemas de prevención de intrusiones, bloqueadores de comportamiento y protecciones contra los desbordamientos de búfer.

La seguridad, cada día más, es un proceso multinivel que debe contemplar muchos focos de atención. Conformarse sólo con uno puede resultar contraproducente.

5 comentarios sobre “¿Son suficientes los antivirus basados sólo en firmas?

  1. La heurística está siendo fundamental estos últimos años, de ahí el éxito indiscutible del producto de ESET: NOD32, que vengo evaluando desde enero/febrero del 2002, cuando nadie lo conocía en la rede hispana. Por entonces utilizaba el viejo Kaspersky (del que he sido usuario durante muchos años), pero que comenzó a flaquear.

    Tiempo atrás probé un montón de antivirus y siempre volvía a lo mismo: NOD32 como residente y el KAV para el escaneo manual y el de los ficheros descargados. Actualmente sólo utilizo el primero, ya que los nuevos KAV son problemáticos para combinarlos con otros antivirus.

    Te recomiendo encarecidamente esta entrevista que le hicimos a Richard Marko, el responsable de la heurística en el antivirus NOD32. No estaría nada mal volver a realizarla, planteando nuevos temas y profundizando otros que se olvidaron.

    RM_VC_Feb2004/Richard_Marko_Feb_2004.htm

    Me haría «ilu», estoy saturado de tanto politiqueo!

  2. Pingback: meneame.net
  3. maty,

    Gracias por el enlace. La verad es que es una entrevista interesante, todo sea dicho, aunque a buen seguro las cosas en ESET habrán cambiado mucho en estos dos años :)

    Definitivamente, sí, sería estupendo que entrevistárais a Marko nuevamente. Seguro que tiene mucho que decir al respecto, y normalmente los jefes de laboratorio de las casas antivirus son personas que sientan cátedra.

    Sin ir mas lejos, miremos además del caso de Marko, el caso de Anton Zajac, una persona que entre sus muchos méritos está ostentar una candidatura al Nobel de Física por su impresionante trabajo con la Teoría Unificada de la Superconductividad en Altas y Bajas Temperaturas.

    No suelo opinar sobre las casas, sobre quién es mejor o peor (entre otras cosas porque no soy investigador antimalware) pero ESET sin duda alguna, cuenta con mis simpatías.

    Un saludo ;)

  4. El otro día leí un articulo titulado «Compañía india diseña nuevo sistema para combatir virus» (http://www.diarioti.com/gate/n.php?id=10261). Lo cierto es que despojandolo de la capa marketiniana que lo recubre, apoya esta misma tesis que planteas en este post.
    Habrá que esperar a evaluar el producto para comprobar «cuanto» de verdad hay detrás de su anuncio.

Comentarios cerrados.