martes, 2 de diciembre de 2008

¿Sabías que los botnets no pueden ser detenidos por un anti-virus?

Un nuevo análisis de las botnets expone una posible razón para explicar su prodigiosa habilidad para infectar PC y es que, la mayoría de los programas antivirus son prácticamente inútiles a la hora de bloquear los códigos binarios utilizados por este tipo de redes para extender malware y spam.

hacker2 Así lo afirma el máximo responsable científico de FireEye, Stuart Staniford en este estudio, en el que continúa explicando que las tasas de detección de este tipo de código son tan pobres que, de media, sólo cerca del 40 por ciento de los programas de seguridad  pueden detectar estos códigos durante el período de mayor infección y peligro, esto es, durante los primeros días después de que una variante comience a ser utilizada por los creadores de estas redes. En un blog en el que detalla todas estas afirmaciones, describe cómo él mismo cargó una muestra de 217 binarios seleccionados de appliances de FireEye entre los meses de septiembre y noviembre en la página independiente de pruebas VirusTotal. Esta página trabaja con 36 programas antivirus, lo que supone una muestra bastante representativa de los programas de seguridad que utilizan tanto particulares como empresas. Al facilitarles estas muestras, dio acceso a sus investigadores a estos datos para que mostraran estadísticas de cómo esos mismos códigos binarios de malware ya habían sido cargados en el sitio Web por otros investigadores, cuándo lo habían hecho y cuántos de ellos habían sido detectados por cada programa.

Sin embargo, aproximadamente la mitad de los binarios escogidos por FireEye resultaron desconocidos por VirusTotal, lo que es un resultado indicativo del problema principal de la detección de redes bot que extienden malware. La velocidad. Y es que, debido a que el malware habitualmente utiliza programas “polimórficos”, que son constantemente cambiados muy sutilmente para evitar la detección de patrones binarios, la dificultad llega a la hora de detectar y bloquear malware rápidamente. Según Staniford, esto hace especialmente difícil que los programas de antivirus puedan descubrir malware en la primera semana de su uso. Durante los tres primeros días después de la detección inicial de FireEye, sólo cuatro de cada 10 programas antivirus pudieron detectar el código malicioso, lo que sugiere que la mayoría de las redes bot podrían evadir los softwares de seguridad durante los ataques en PC que se desarrollen en ese periodo de tiempo.

“La conclusión es que AV trabaja bien con elementos antiguos, pues cuando un código malicioso ha estado en circulación durante unos meses y se continúa utilizando, cerca del 80 por ciento de los productos lo detectan”, explica Staniford.

Por su parte, los appliances de FireEye pueden contemplarse como sistemas de “alerta temprana” por el modo en que utilizan análisis de comportamiento para detectar el malware en tiempo real, en algunos casos, incluso días o semanas antes de que un programa haya sido identificado formalmente y documentado por las compañías de seguridad. Una vez que ha sido determinado y se ha enviado una firma a las bases de datos de los antivirus, quizá ya sea demasiado tarde. Aunque es cierto que muchos proveedores de seguridad relevantes utilizan técnicas similares para detectar el malware lo más rápido posible, es sorprendente que muchos programas antivirus fallen a la hora de descubrir los códigos binarios lanzados por FireEye. La razón podría ser simplemente que el enorme número de muestras que circulan en todo período.  Lo que nadie pone en duda es la importancia que tienen las redes bot a la hora de extender el malware y spam, tal y como ha puesto de manifiesto un reciente intervención de una compañía de hosting estadounidense, McColo, que ha sido acusada de hospedar a controladores de redes bot. De hecho, en las horas posteriores a su intervención, los niveles de spam cayeron en picado.

El presente artículo NO ha sido modificado en su contenido pero si se le han agregado enlaces para complementar la información. Eventualmente también se han agregado imágenes o modificado las existentes, y en algunos casos variado la diagramación así como prescindir de algunas o todas las imagenes originales (no siempre). También puede haberse resaltado algunos segmentos que considero importantes o interesantes a criterio personal. Para ver el artículo original por favor hacer uso del apartado Fuentes que se incluye al final de este post.

____________________________
Artículo Fuente : Los antivirus no nos protegen de las redes robot
Autor / Publicado por : Paula Bardera
Web Site / Blog : PC World

No hay comentarios:

Publicar un comentario

AVISO:
Muchas gracias por considerar dejar un comentario. Te pido por favor que tengas en cuenta las siguientes pautas:
1. Evita usar lenguaje prosaico u ofensivo, y mantener siempre el respeto por todos.
2. Respeta las opiniones de los demás y no cometas el error de atacarlos de manera insultante o prosaica.
3. Si no estas de acuerdo con el tema publicado, ambos sabemos que hay forma de realizar una crítica sin ofender ni agredir.
4. También queda prohibida los enlaces de promoción o publicidad descarada.
5. Finalmente te pido que no utilices abreviaturas en tus respuestas para poder mantener una armonía en la lectura de los mensajes y una mejor comprensión de la lectura.

Y como muestra de mi gratitud por tu visita y comentario, si tienes sitio web o blog y has ingresado ese dato u OpenID, agregaré tu web o blog en mi sección Blogs de amistades y/o que me gusta visitar seguido.

En caso contrario tu comentario podría ser eliminado. Aprecio mucho que consideres esta petición de mi parte. Muchas gracias por tu comprensión.

Nota: solo los miembros de este blog pueden publicar comentarios.

El pianista que tocó y alguien escuchó

Una marmota en el barrio de Lima

Historias de una cocina

El cine que compartí