En el artículo que reproducimos a continuación -de antemano, el autor -en relación a la heurística de los antivirus- aclara: "No se trata de una crítica a la herramienta, sino de ilustrar por qué no ha de depositarse una confianza ciega en un recurso tan valioso, sin la menor duda, como insuficiente."
Hoy nos congratulamos de publicar este fragmento -de lo que sin duda será una obra valiosa- con su debida autorización.
José E. Anaya Pedrero
Por qué falla la heurística
Una buena dosis de la confianza que se deposita en los antivirus que recurren a la heurística como arma contra las amenazas nuevas y desconocidas, radica en la idea que se trata de un instrumento infalible. La última solución contra el malware. Pero la realidad es que, incluso productos que de origen se basaron 100% en tecnología heurística, hoy ya no existen. Aquí algunas de las evidencias que muestran que, tan buena como pueda ser, la heurística tiene sus limitaciones.
¿Cuál heurística?
No existe tal cosa como un algoritmo heurístico universal. Puede haber algo parecido a una convergencia conceptual: más o menos todos los antivirus –con la notable excepción de uno de los más prestigiados productos- cuentan con recursos heurísticos; y más o menos hay un consenso en cuánto a en qué consiste. Digamos que básicamente se trata de herramientas que evalúan el comportamiento de una pieza de software para establecer si se trata de un ente malintencionado, ello en lugar de pretender identificar el malware por nombre y apellido. El problema es que cada fabricante tiene su propia forma de implementar la técnica y en ese terreno, hay de todos colores y sabores. Es decir, cada producto tiene su propia heurística y las diferencias son amplias y dramáticas. No es posible comparar la heurística de los productos con base en su código, ya que, además, se trata de secretos industriales. Como consecuencia de las diferencias en la implementación, resulta claro que cada enfoque tiene sus puntos fuertes, pero también sus debilidades, que le son imputables solo a cada producto en lo particular.
El factor especulativo
Como técnica de inteligencia artificial, hay un cierto margen de error derivado de una conclusión incorrecta respecto al análisis de una pieza de software sospechosa. Ningún producto está exento de esta posibilidad. Hay numerosas intrusiones que basan su asalto en diversos módulos separados: unos se ocupan de la instalación, otros de las comunicaciones, otros más de borrar las huellas y aun otros se ocupan de los daños a causar. Varios de esos módulos pueden ser pasados por alto porque no contienen código evidentemente malicioso, lo cual basta para la reinfección. Más grave aun es el hecho de que programas inofensivos pueden ser bloqueados o eliminados a causa de una inferencia equivocada.
Eficiencia
La sofisticación tiene un precio y se llama eficiencia. Una cosa es examinar ciertos puntos de entrada en un programa, y otra muy diferente es practicar una autopsia completa en busca de algo que acaso no esté presente en el código objeto. Y ya que éste tipo de análisis ocurre a menudo en paralelo con el proceso normal, en máquinas virtuales, cabe la posibilidad de que el impacto en el desempeño del sistema sea sensible. En ese escenario, no solo podría haber margen para la ejecución simultánea de distintos componentes del malware, sino que algunos usuarios y administradores de sistemas desactivan parcial o totalmente el recurso heurístico para ganar eficiencia a costa de la seguridad.
Todas las armas cuentan
Ni la mejor heurística es un cortafuegos. La tecnología heurística debe ser contemplada como una línea de defensa, no como la solución total ante las intrusiones. Por ello han desaparecido las soluciones basadas exclusivamente en heurística. Los ataques a los puertos, la navegación inducida, los fraudes al usuario, la publicidad no solicitada, son solo algunos ejemplos de actividad nociva que no puede ser analizada por la heurística porque su misión es evaluar el comportamiento de los programas, y solo de aquellos programas que se ejecutan en el sistema en que se encuentran instalados. Los programas que se ejecutan en las antípodas pueden ser contenidos, a veces, pero no por vía de la heurística. Por ello es preciso contar con tecnologías alternas, incluyendo la tradicional identificación por firmas o huellas digitales, los cortafuegos, los antispam, el antiphishing, etc.
Evolución del malware
Día a día aparecen nuevos campos de cultivo para el malware. Cada nueva aplicación con capacidades de automatización de procesos, llámense scripts, lenguajes de programación, macros, APIs o lo que se prefiera, constituye una oportunidad para que alguien con el suficiente ingenio discurra cómo aprovechar la nueva facilidad con fines aviesos. Las técnicas heurísticas deben adaptarse a las nuevas tecnologías del malware, porque no hay forma de analizar una pieza de software sin conocer el mecanismo de ejecución subyacente. Baste recordar el desastre que causaron los macrovirus de Word Basic cuando aparecieron: ninguna herramienta antivirus estaba preparada para analizar o siquiera verificar una macro de Word porque se trataba de un entorno absolutamente distinto de las estructuras de un ejecutable estandar de DOS o Windows. Los antivirus deben evolucionar al paso del malware, a menudo al precio de modificar el propio antivirus. Por ello no resulta extraño que ciertos productos que solo se revisan en forma anual deban suplir sus limitaciones a base de parches y soluciones "especiales", cuando sería más práctico ajustar los motores de rastreo así sea a mitad del año.
Solo para empezar
Lo dicho hasta aquí puede ser representativo de las causas más frecuentes de "fallas" en los resultados de la heurística, pero no hay duda de que existen muchas otras causas condicionantes de la eficacia de la herramienta, mismas que aplican a cualquier tecnología y a todos los productos.
VIRUS NUEVOS:
Alerta-Antivirus
Centro de Alerta Temprana sobre Virus y Seguridad Informática
ENCICLOPEDIA VIRUS
virus informáticos A-Z
Hispasec Sistemas
Seguridad y Tecnologías de la Información
SEGU-INFO
SEGURIDAD DE LA INFORMACIÓN
ZONAVIRUS
elimina virus, troyanos, spyware, adware
No hay comentarios:
Publicar un comentario