Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Antivirus y falsos positivos... un desmadre

Ver el tema anterior Ver el tema siguiente Ir abajo

Antivirus y falsos positivos... un desmadre

Mensaje por Gaillimh el Jue Mar 19, 2009 3:54 pm

Hispasec - una-al-día 18/03/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------


Antivirus y falsos positivos... un desmadre
-------------------------------------------

A Fred Cohen se le conoce como el padre de los "virus informáticos",
por ser el primero en acuñar este término en la década de los 80 para
describir a estos programas. Además de bautizarlos y analizarlos, en
su estudio "Computer Viruses - Theory and Experiments" llegaba a la
conclusión de que no existía algoritmo que pudiera detectar todos los
posibles virus. Cuando ahora se cumplen 25 años de su estudio podemos
decir que Cohen tenía razón y que, además, vamos a peor. Vale que no
podamos detectar todo el malware pero, por favor, no detectemos a los
que no lo son.

A lo largo de toda la historia del malware (los virus tienen menos de
30 años, lo que nos quedará aun por ver) las conclusiones de Cohen han
pesado como una losa. A diferencia de hace unos años, donde todavía
existía publicidad engañosa con aquello de "100% contra virus conocidos
y desconocidos", a día de hoy quién más y quién menos no le queda más
remedio que esconder sus vergüenzas. Todos asumimos que los antivirus
son otra capa de seguridad que pueden minimizar nuestra ventana de
amenazas, pero que en última instancia siempre estamos expuestos a
sufrir una infección.

Esa conciencia sobre las limitaciones de las soluciones de seguridad y
la exposición al riesgo es buena y deseable, porque permite educarnos
en un uso más profiláctico de la informática, aplicando más capas de
seguridad adicionales o simplemente mejorando nuestros hábitos diarios.
De modo que es bueno que seamos conscientes de que nuestro antivirus
sólo nos protege contra el 80% de las amenazas que potencialmente
podemos recibir, quién dice 80% puede decir 65%, o 50%... pero bueno,
al fin y al cabo, nos está protegiendo.

¿Realmente los porcentajes de detección pueden llegar a ser tan bajos?
No, según el caso pueden ser aun peor. En los últimos tiempos existe
un problema de escalabilidad en la detección de malware, simple y
llanamente, los laboratorios antivirus no dan a basto con la producción
actual de bichos nuevos. Si en febrero de 2004 podíamos leer en el
recién estrenado blog de F-Secure: "Dos nuevas variantes de Bagle han
sido avistadas. Otra vez. Parece que tendremos un fin de semana
ocupado", ¿qué tendrían que decir hoy en cualquier laboratorio antivirus
donde se reciben a diario miles de nuevas variantes de malware?.

Está claro que la opción de escalar el problema aplicando a los métodos
de análisis tradicionales una regla de tres no es buena, si se han
multiplicando por miles los especímenes diarios que puede recibir un
laboratorio la solución no es multiplicar por mil los analistas. Entre
otras cosas porque el negocio de los antivirus dejaría de ser rentable.
Así que ahora se trabaja mucho en la automatización de análisis y
heurísticas para aumentar los ratios de detección. El efecto secundario
de esta automatización y heurísticas más agresivas es que los antivirus
tienen un mayor número de falsos positivos, es decir, se equivocan más
al detectar como malware algo que en realidad no lo es.

Esta problemática, lejos de ser una anécdota, es cada vez más
preocupante. Ya la hemos tratado en una-al-día anteriormente, y vamos
a peor. En Hispasec recibimos día sí, día también, mensajes de
desarrolladores preguntando o quejándose de que los antivirus de
VirusTotal están detectando como malware su software legítimo, con las
interferencias y problemas que ello les causa ante sus clientes y su
reputación global. Nosotros mismos hemos sufrido en propias carnes que
VTuploader, la herramienta para enviar ficheros a VirusTotal, fuera
detectada hace unas semanas, teniendo que solicitar la corrección de
las firmas a los antivirus implicados.

Algo está fallando en los antivirus cuando, incluso, están aumentando
los falsos positivos con los propios ficheros legítimos de Windows. Se
supone que comprobar la no detección de componentes de Windows debe ser
la medida más básica de control de calidad antes de publicar una nueva
actualización.

Estamos ante una carrera loca por ver quién detecta mayor número y más
rápido (de lo que sea), y nos estamos olvidando de que, ante todo, un
antivirus no debería molestar ni interferir (demasiado) en el normal
funcionamiento de los sistemas y los programas legítimos. Un usuario o
una empresa puede llegar a entender que un antivirus no detecte todos
los virus del mundo, incluso que se le cuele alguno que otro, pero
difícilmente podrá aceptar que el antivirus le cuelgue el ordenador,
borre ejecutables que no debe, o impida la ejecución de una aplicación
corporativa.

No todo vale para detectar más. Estamos perdiendo el foco. Es un
desmadre.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3798/comentar

Más información:

Computer Viruses - Theory and Experiments
http://all.net/books/virus/index.html


Bernardo Quintero
bernardo@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

antivirus falsos y positivos

Mensaje por anitadin el Dom Abr 05, 2009 8:10 pm

gracias por la información. muy interesante Sonrisa
avatar
anitadin
Invitado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.