Antivirus

Antivirus en la nube

Se habla mucho últimamente de algo llamado “cloud computing” o computación en la nube, como un paradigma que ha cambiado la forma de acceder a la información. Pero ¿qué es realmente eso de “la nube”?

Resumiéndolo de forma rápida y sencilla, la idea de la computación en la nube es trasladar recursos (aplicaciones, datos, etc) desde nuestros ordenadores hacia una infraestructura de servidores remotos – la nube – , para poder acceder a ellos desde cualquier lugar y así liberar a los dispositivos locales de dicha carga. Esto permite modelos como el “ SaaS ” o “Software as a Service ”, por el cual los usuarios pueden utilizar una aplicación sin necesidad de tenerla instalada ni de almacenar sus datos localmente en su ordenador. Por supuesto,   cuando hablamos de “nube” nos estamos refiriendo realmente a Internet.

En realidad, si nos paramos a pensarlo, el concepto no es nada nuevo, pero existe un segmento específico de la industria del software, para el que el enfoque “Cloud” ha supuesto un gran avance: las aplicaciones antimalware. No obstante, para comprender mejor esta afirmación, es necesario conocer el funcionamiento básico de un antivirus.

El modelo de análisis “clásico”

La función principal de un antivirus es el análisis de archivos en busca de elementos maliciosos. Para ello, en el enfoque de análisis “tradicional”, la aplicación emplea una base de datos conteniendo la información necesaria para detectar el malware, lo que conocemos como fichero de firmas. Para que el proceso de análisis sea eficaz, y al antivirus no se le escape ningún “bicho”, dicho fichero de firmas debe estar permanentemente actualizado.   Esto, que dicho así parece sencillo, resulta cada vez más difícil.

¿Por qué? Pues porque el malware continúa creciendo de forma espectacular, y como muestra un botón: en Panda Labs , los laboratorios de detección y análisis de malware de Panda Security, se reciben aproximadamente una media de 55.000 ejemplares de virus al día. Con este ritmo de crecimiento, la necesidad de mantener actualizado el archivo de firmas hace que su tamaño crezca de manera imparable, y con ello la dificultad en su manejo, que a la larga puede redundar en problemas como pérdida de rendimiento, aumento en el consumo de memoria del sistema, etc. Y eso sin mencionar que se necesitaría todo un ejército de técnicos dedicado al análisis y clasificación de todas las muestras víricas que se reciben .

¿La solución? Aplicar el paradigma del “Cloud Computing”.

El modelo de análisis “en la nube”

Con este enfoque, los datos necesarios para identificar el malware se almacenan en una infraestructura de servidores. Dicha información se mantiene actualizada en tiempo real, gracias a la contribución de millares de ordenadores en los que se encuentra instalado el producto. Es lo que en Panda Security llaman “Inteligencia Colectiva” y hace que en la práctica, cada ordenador que ejecuta el software se convierte en un “sensor antimalware” que aporta información al resto de las máquinas que conforman la “nube”. Así, un virus que sea detectado y su firma registrada en la nube, quedará automáticamente disponible para todos los ordenadores que tengan instalado el antivirus. Puesto que el software está permanentemente conectado a la nube para obtener la información lo más actualizada posible, el proceso de detección se ve mejorado de forma espectacular.

Esto no es sólo la teoría: la implementación del paradigma Cloud en el software gratuito Panda Cloud Antivirus ha demostrado la eficacia de la tecnología, corroborada por la excelente aceptación que ha tenido este producto en todo el mundo.

No obstante, muchos pensarán “si el antivirus basa su fuerza en el acceso a Internet, ¿qué pasa si no tengo conexión a la red?” Bien, aunque un escenario sin conexión no es el más deseable, eso no significa que el analizador sea inútil, ya que esta circunstancia está contemplada en Panda Cloud Antivirus. Dicho esto, resulta evidente que este modelo obtiene la mayor eficacia posible cuando se implanta en ordenadores conectados permanentemente a la red.

Conclusiones

El paradigma de la nube, aplicado a la seguridad informática, ha mostrado su validez y está aquí para quedarse, como demuestra el hecho de que cada vez más empresas de la industria de seguridad lo adoptan. Es sin duda un paso adecuado en la dirección correcta.

Javier Guerrero - Panda Security

Permisos y Malware

Se tiene la idea de que Windows no es un sistema seguro, en contraposición a otros como Linux o Mac OS, pero esto no es del todo cierto.

Me explico: es innegable que Windows es el objetivo principal de todo el malware que se crea en el mundo, básicamente porque cuenta con una abrumadora cuota de mercado.

Sin embargo, Windows implementa todos los mecanismos de seguridad propios de un sistema operativo moderno, como: listas de control de acceso, permisos, cuentas de usuario con diferentes privilegios, etc. Paradójicamente, la mayoría de estas funcionalidades acaban por ser de escasa utilidad porque, sencillamente, no se usan.

Reflexionaba sobre esto hace algunos días, cuando poco después leí una noticia relacionada con un informe realizado por la compañía BeyondTrust, en el que se indicaba que alrededor del 90% de los problemas de seguridad que aquejan a Windows (cosas como malware, vulnerabilidades, etc.) se podrían reducir o mitigar si la gente emplease cuentas de usuario limitado en lugar de usuario administrador .

Pero, ¿qué es esto de usuarios limitados y usuarios administradores?.

Para que una persona pueda usar el PC, debe hacerlo con una cuenta de usuario, que le identifique en el sistema operativo y le permita trabajar con él. Básicamente hay dos tipos de cuentas:

  • Cuenta de administrador
  • Cuenta de usuario limitado.

El primero, administrador, tiene acceso ilimitado a los recursos del sistema: puede instalar hardware y aplicaciones, gestionar toda la información relativa a usuarios (añadirlos, borrarlos o cambiar sus contraseñas) y, en definitiva, efectuar cambios que afecten a todo el sistema.

Por el contrario, el segundo con cuenta de usuario limitado tiene restringido el acceso a determinados recursos del sistema operativo, como carpetas, archivos, herramientas de administración, instalación de aplicaciones, etc.

Vale, pero… ¿cómo afecta esto al malware?

Bien, imaginemos que, sin saberlo, ejecutamos un programa malicioso que intenta instalar y arrancar un troyano. Normalmente la aplicación utilizará los permisos de acceso de la cuenta bajo la que se ejecuta, lo que significa que si somos un usuario con cuenta limitada, el intruso no podría copiar sus ficheros a la carpeta de sistema, modificar las claves del registro necesarias, o incluso iniciar un hipotético driver o servicio.

Si por el contrario el malware se ejecuta con permisos de administrador, no tendrá ningún problema en instalarse y hacer de las suyas ya que, en lo que respecta al sistema operativo, la aplicación está perfectamente autorizada para hacerlo.

Por tanto, resulta innegable que, si bien siempre existen vulnerabilidades y formas de saltarse los controles de seguridad, este mecanismo es una buena barrera para el malware más común y poco sofisticado, y permite mitigar en buena medida bastantes de los problemas.

Entonces, si los medios están disponibles, ¿por qué no se usan?

Existen diversos motivos, entre ellos:

  • La mayoría de usuarios se han habituado a manejar el sistema como administradores . Esto es comprensible, ya que no es sencillo lidiar con conceptos como permisos, cuentas, privilegios, listas de control de acceso, etc., incluso para usuarios experimentados. De manera que, bien por ignorancia, costumbre o simple comodidad, al final acabamos usando la cuenta de administrador.
  • Hay aplicaciones que no tienen en cuenta el modelo de seguridad de Windows , y asumen que la cuenta de usuario bajo la que corren va a ser siempre la de Administrador, y por tanto van a tener permisos para realizar ciertas tareas. Esto hace que no funcionen bien en cuentas de usuario limitado, o incluso que ni siquiera se instalen, con lo cual al final terminan por obligar al usuario a trabajar con cuenta de Administrador.
  • También ocurre que a muchos usuarios les gusta poder controlar todo lo que ocurre en el sistema , y se encuentran con que la cuenta de usuario limitado les impone demasiadas restricciones. Por tanto, prefieren asumir el riesgo a cambio de no perder el control.

Una de las conclusiones que se pueden sacar de todo esto es, evidentemente, que un sistema operativo es un producto complejo, y que cuando se intenta hacer accesible al mayor número posible de usuarios, la seguridad suele ser uno de los aspectos que más se resienten.

Javier Guerrero Díaz

Vía: La Piazza Blog

Profilaxis digital, vacuna tu pendrive contra los virus

USB Flash Drive by by Ambuj Saxena on Flickr

El programa Panda USB Vaccine es una pequeña perla de Panda que seguramente ha pasado desapercibida ante los ojos de muchas personas. Esta vacuna “profiláctica” impedirá la propagación de esos molestos gusanos y troyanos que pasan de un ordenador a otro mediante las memorias USB (pendrives) que tan frecuentemente utilizamos.

Muchos son los usuarios que, como yo, se ven forzados a compartir ordenador con compañeros de trabajo. Compañeros que acaban portando su trabajo o archivos privados de un ordenador a otro en sus memorias USB, exponiéndose a los cada vez más comunes gusanos, troyanos o scripts que acaban por infectar al final nuestros ordenadores personales.

Gusanos como el Conficker.C.worm (vulgarmente conocido como Recycler ) que astutamente se esconde en la papelera de reciclaje y pasa desapercibido para la mayoría de los antivirus. Un gusano que, por mucho que lo elimines, vuelve a replicarse desde otra ubicación en la que se había escondido como archivo .dll. ¿Os suena familiar? Pues a mí, sí. He tenido que lidiar con este gusano duramente casi un mes hasta poder deshacerme definitivamente de él. Baste decir que después de formatear varias veces mis ordenadores personales, después de pasarme semanas reinstalando programas e intentando proteger mi PC y mis pendrives de manera infructuosa, encontré esta pequeña perla en el inmenso mar de Internet. Una aplicación que salvó mi vida o más bien la vida de mi ordenador, de mis archivos y me ahorró mucho tiempo.

Panda USB Vaccine es un versátil y potente programa que se descarga e instala en cuestión de pocos minutos. Una vez en tu ordenador, te recomendará que vacunes las memorias externas que conectes a él (ya sean pendrives o USBs, tarjetas de memoria, discos duros externos, etc.), todo ello de una forma rápida y sin la menor ralentización de tu ordenador.

Este antimalware bloquea el archivo de autoarranque de tu memoria externa (i.e. autorun.inf ), impidiendo de esta forma que los posibles gusanos y troyanos que están en el USB se extiendan al ordenador al que está conectado. El archivo “autorun.inf” pasará a renombrarse como “AUTORUN_.INF” quedando el autoarranque inutilizado y de esta manera se frena la propagación de estos indeseables gusanos al ordenador.

Para aumentar la efectividad de este programa es recomendable suprimir la reproducción automática de cualquier dispositivo externo mediante la vacunación de nuestro PC con la opción que nos ofrece esta aplicación . De esta manera impedimos que todo USB no vacunado y conectado a nuestro PC pueda infectarnos. Asimismo, nos da la oportunidad de poder vacunar esta memoria externa antes de que el explorador de Windows la abra. Algo que es muy común si, como yo, estas recibiendo constantemente trabajos de alumnos a través de sus USBs.

Sin embargo, debemos tener en cuenta que esta vacuna NO IMPIDE que los gusanos o troyanos se copien en nuestra memoria externa o USB si conectamos nuestro pendrive a un PC infectado . Así pues, debemos ser extremadamente cautelosos a la hora de abrir archivos desconocidos en nuestro pendrive, ya que podríamos estar accediendo (y por tanto, activando) algún troyano o gusano que ésta aplicación hubiera bloqueado en el USB. Recordemos que Panda USB Vaccine es un efectivo medio preventivo que evita la propagación de estos gusanos a través de tu pendrive, pero no los elimina, esta función está reservada para los programas antivirus.

Para una mayor efectividad de esta aplicación, es conveniente vacunar el USB tras haberlo formateado para evitar tener archivos “autorun” duplicados. Me explico, muchas veces cuando un USB está infectado, el troyano o gusano ya ha modificado el archivo “autorun.inf” e impide a Panda USB Vaccine que pueda modificarlo con posterioridad. En estos casos, cuando el programa intenta bloquearlo, se crea un nuevo archivo “autorun.inf” propiciando la co-existencia de dos archivos “autorun”: uno en mayúsculas con guión bajo “AUTORUN_.INF” que sería nuestro archivo inicial modificado por el troyano que ha sido inutilizado por Panda USB Vaccine como “autorun”. Y aparecerá un nuevo archivo “autorun” bloqueado y vacunado por la aplicación de Panda, esta vez en minúsculas (“autorun.inf” ). A pesar de que una vez vacunado nuestro USB, éste ya ha quedado protegido ante la propagación de los troyanos y gusanos, para evitar tener dos archivos “autorun” (uno inutilizado como tal y otro vacunado por Panda), mi consejo es formatear y vacunar el USB . De esta manera, eliminamos completamente todo rastro del troyano o gusano de nuestro USB. Así pues, si se da este caso en vuestro USB, para mayor seguridad mi recomendación es salvar los archivos personales que necesitéis, solamente los conocidos seleccionándolos de forma manual (nunca seleccionéis todo en el archivo o carpeta raíz de su USB, ya que esto incluiría a los gusanos ocultos ahí) y por último copiarlos en otra ubicación segura que no pertenezca al USB. Una vez hecho esto, formateáis el USB y seguidamente lo vacunáis.

Finalmente, un buen antivirus es la guinda perfecta para este “cóctel profiláctico” que terminará de proteger nuestro ordenador. Versiones gratuitas como el Avast 5.0 o el Panda Cloud (o Panda nube) son opciones muy válidas para dicho fin.

Espero que este artículo os haya sido de utilidad. Y ya sabéis, si queréis ahorraros problemas con los pendrives, una solución puede ser el programa gratuito Panda USB Vaccine .

A partir de ahora:

¡¡Vacúnate, vacúnaselo!!

Adolescentes ante las amenazas en la Red

Javier Guerrero Díaz, Dpto. Desarrollo I+D Panda Security

Hace algunos meses me surgió la posibilidad de impartir, en un día libre y a título personal, una charla de carácter informal sobre malware a los alumnos del instituto de Enseñanza Secundaria donde estudian mis hijos.

La idea era darles a conocer, mediante un somero resumen, las principales amenazas a las que cualquier usuario de ordenador está expuesto hoy en día ( gusanos , troyanos , spyware , etc.), incluyendo además una demostración práctica: la infección de un ordenador mediante la inserción de un pendrive contaminado, de tal forma que pudiesen comprobar lo fácil que resulta quedar infectado por un ejemplar de malware.

La experiencia fue bastante interesante, aunque agotadora (no es fácil mantener atentos y callados a 120 chicos y chicas de 12 o 13 años durante una hora), y pude comprobar algunos datos bastante significativos:

  • Cuando mostré algunas pantallas de gusanos que se transmiten por Messenger , una gran cantidad de chavales decía “ese mensaje me sale a mí muchas veces en el Messenger, y muchas veces pulso en la opción aceptar ”.
  • Prácticamente todos los asistentes sufrían en sus ordenadores la aparición de un buen número de pop-ups , típicos de los adware .
  • Muchos convivían con alguna clase de Fake o RogueAV, es decir, antivirus falsos.
  • Muy pocos mostraban reparos a la hora de abrir correos de remitentes desconocidos, con asuntos del tipo “Mira mis fotos nuevas”.

A raíz de esto, se pueden extraer varias conclusiones, pero quizás la más evidente, al menos para mí, sea ésta: que si bien los adolescentes han crecido con la tecnología y los ordenadores, y se sienten cómodos con su uso, su nivel de concienciación ante la amenaza del malware es, en su gran mayoría, nulo .

Aunque esto pueda parecer una generalización demasiado amplia, creo que también puede verse como una muestra de una realidad incuestionable: que existe todavía mucho desconocimiento, en el ámbito del usuario doméstico y especialmente entre los adolescentes, sobre las amenazas informáticas en general, y el malware en particular.

Y si bien iniciativas como la campaña “ Menores en la red ” auspiciada por Panda Security son pasos en la dirección adecuada, resulta evidente que es necesario seguir trabajando en este sentido, para lograr una mayor concienciación frente al malware.

Javier Guerrero trabaja en Panda Security como especialista técnico y analista/programador, y desde su incorporación en 1998 ha participado en un buen número de proyectos de la compañía, casi siempre en las capas de tecnología kernel: el primer Panda Platinum, Panda Security y Panda Security for Networks, pasando por tecnologías como Firewall, TruPrevent, Residente de ficheros, Escudo y la capa de Interceptación de Cloud AV. Actualmente pertenece a la Unidad de Interceptación y es responsable de los interceptores de archivos y procesos de Cloud AV.

Javier Guerrero Díaz
Dpto. Desarrollo – I+D

Vía: La Piazza Blog

Distribuir contenido
Inicio