Oct 17 2010

Zillya! Antivirus, gratuito y apto para servidores

Gabolonte Blasfemus

¿Se acuerdan cuando no hace mucho exploramos las pocas opciones que existen en el segmento de los antivirus gratuitos con capacidad para funcionar en un servidor Windows? Bueno, ahora son aún menos, porque las únicas dos opciones viables de esa lista se fueron a pique: Digital Defender se expandió, y como ahora posee una versión paga para servidores, por algún extraño motivo su versión gratuita dejó de funcionar en estos, y si se lo intenta instalar suele lanzar un críptico error relativo a la existencia de otro antivirus en el sistema así tengamos a este completamente desprotegido; Comodo Antivirus por otro lado no se queja si lo instalamos en un WinServer, pero su módulo Defense+ no dejará de reportar error permanente, dejando al producto todo el tiempo en alerta y volviéndose inefectivo a la hora de verificar avisos de seguridad. Era claro que la PyME que no quería o no podía darse el lujo de empernarse en un contrato de subscripción para proteger su servidorcito(s) con un producto antimalware y al mismo tiempo no quería incurrir en el peligroso camino de truchar alguno se estaba quedando sin opciones reales.

O al menos eso pensaba, hasta que conocí a Zillya!, un producto que de momento tiene lo suficiente como para brillar en su despoblado rango: Además de gratuito, es liviano, configurable, funciona sin problemas en servidores o estaciones de trabajo, y lo más importante, posee una tasa de detección a la altura, o incluso por arriba, de muchos otros productos de reputación. De hecho pude observar que es capaz de detectar muchos archivos que otros antivirus ignoran y que no son precisamente malware, tales como binarios crackeados o modificados. Aunque tampoco es la perfección: Es importante si lo utilizamos estar preparado para un pequeño pero significativo margen de falsos positivos que suele tener, y no entrar en pánico por ese proceso parte del sistema operativo que no deja de identificar como malware; una vuelta por VirusTotal puede sacarnos todas las dudas.

Por lo demás, cumple con todo lo necesario para ser tomado en cuenta como una opción seria: Actualizaciones automáticas constantes, escaneo en tiempo real, también de emails entrantes y salientes, y una interfaz dentro de todo agradable y clara. Todo esto no lo convierte sólo en la única opción gratuita medianamente decente para proteger un servidor Windows, sino también en un muy interesante candidato para usar en PCs hogareñas o de oficina con Windows XP o superior, ya que su única contra es que no soporta Windows 2000, del que todavía quedan algunos servidores dando vueltas por ahí.

De momento Zillya! parece ser la única respuesta al dilema de proteger un servidor Windows pobre. ¿Ustedes conocen alguna otra?


Abr 7 2010

La obsolescencia de los antivirus

Gabolonte Blasfemus

Hoy sucedió un hecho bastante interesante que me hizo reflexionar nuevamente sobre una tendencia que viene creciendo desde hace varios años y que le da el nombre a este post. Un visitante me dejó un poco cálido comentario en el post sobre la herramienta tcping, aludiendo a que contenía un troyano; y más allá de que jamás le encontré nada que fuera motivo de sospechas, sumado a la poca seriedad y amabilidad del comentario en sí (Autor : uno que pasaba, E-mail : lalala@hormail.com, Comentario: Tiene un troyano como una casa), la duda quedó sembrada y me dispuse a bajar una nueva copia desde el sitio del autor de la herramienta, compararla con la que ya tenía descargada en mi equipo, y verificarla en VirusTotal para ver que tenían para decir sobre la misma las compañías antivirus más reconocidas, y las que no también. Las copias resultaron idénticas, y el resultado fue el siguiente:

image

Como podemos observar, algo de razón tenía nuestro amigo trollónimo. De los 39 motores de antivirus utilizados en el análisis 7, entre los que se incluyen Kaspersky y McAfee, reconocen en esta herramienta a un supuesto troyano identificado como Trojan.Win32.Rozena, aunque otros de la talla de F-Secure, BitDefender, Panda, Eset NOD32 y Microsoft Security Essentials no lo hagan. Ahora bien, ¿qué es y qué hace exactamente este troyano llamado Rozena?

Los datos que San Google nos arroja son bastante limitados, pero podemos ver como para sitios de información sobre amenazas como ThreatExpert y PC1News se trata de un troyano asociado al falso antivirus conocido como Antivirus 2009, capaz de crear numerosas entradas en el registro para asegurarse iniciar junto con el sistema, así como todo tipo de diálogos y redireccionamientos de sitios web apuntados a vendernos este supuesto antivirus. En cambio, para Eset sólo existe el Win32/Rozena.AE, el cual según su propio ThreatCenter informa tiene como payload el crear una cuenta de usuario con derechos administrativos en Windows con el nombre de usuario evil y la contraseña password.

De más está decir que en todo este tiempo que llevo usando tcping, una herramienta cuyo código fuente está disponible en el sitio de la misma bajo licencia GPL, jamás aparecieron ninguna de estas señales ni tampoco otras que mínimamente sugirieran un comportamiento sospechoso. Tampoco fui capaz de encontrar afirmaciones elocuentes sobre la posibilidad de que el binario de esta herramienta descargado desde su página oficial pudiera contener algún tipo de código malicioso.

Tal vez me equivoque, pero estoy bastante seguro de que este es otro caso más donde las detecciones heurísticas genéricas, sumadas a la propagación de firmas sospechosas basadas únicamente en el rumor, como bien lo demostró Kaspersky no hace mucho, fueron las responsables de este desafortunado resultado, marcando como culpable a una simple herramienta, posiblemente por el sólo hecho de ser un Portable Executable de Windows que utiliza la librería wsock32.dll. Claramente este y otros casos revelan que estamos llegando a un punto de inflexión en la inefectividad del modelo de seguridad establecido por las compañías antivirus desde hace 2 décadas, donde la cantidad, variedad y velocidad de las amenazas son tales que comienzan a cometer demasiados errores con tal de no perderles el paso.

En todo caso, y como no soy un mago del Assembler de x86 ni mucho menos del C++, aclararé en el post pertinente a esta utilidad sobre esta situación, para que cada uno saque sus propias conclusiones y decida si quiere utilizarla o no. Y ojo con hacer ping a puertos TCP desde tcping que los pueden acusar de poseer armas de destrucción masiva (?)


Mar 18 2010

Antivirus gratuitos para servidores Windows (y estaciones de trabajo también)

Gabolonte Blasfemus

image Con la salida de Microsoft Security Essentials vimos como era posible para muchas PyMES y profesionales conseguir una buena solución antivirus gratuita, simple, completa, y directamente de Microsoft, evitando así pagar por complejas suites comerciales o probar versiones gratuitas de terceros que pueden contener publicidad y/o limitaciones deliberadas. Pero un problema aún mayor que se sucede dentro de las pequeñas empresas donde nunca sobra el peso ocurre a la hora de proteger servidores Windows, ya que la mayor parte de los antivirus gratuitos, sea por cuestiones técnicas o principalmente comerciales, admiten su instalación únicamente en estaciones de trabajo. Esto suele dejar a muchas PyMES en una peligrosa encrucijada, donde después de (en el mejor de los casos) haber pagado las costosas licencias asociadas a un servidor Windows, deben elegir entre pagar aún más para instalar un buen sistema antivirus, optar por instalar uno crackeado, o directamente dejarlo desprotegido.

A continuación les muestro 4 opciones en soluciones antivirus gratuitas que se pueden instalar sin problemas en servidores Windows, permitiendo superar este dilema.

Continue reading


Dic 9 2009

Microsoft Security Essentials y la detección heurística

Gabolonte Blasfemus

image Cuando no hace mucho comentaba mis buenas impresiones sobre el Microsoft Security Essentials y cómo podría amenazar a la industria de la seguridad en el post Adiós al negocio de los antivirus, existió una afirmación que generó cierto revuelo y produjo comentarios concernientes, tanto bien intencionados como de los otros: La carencia de un motor de detección heurística en el reciente producto antimalware de Microsoft.

El dato fue tomado por mí del artículo de LifeHacker que enlazaba en el mismo post, al cual en su momento, aunque me resultase algo extraño, tomé por válido. Luego de varios comentarios atacándome por recomendar e insinuar que un antivirus de estas características podría hacer sombra a los grandes de la industria, y a pesar de que en el resto de la competencia no parece ayudar de mucho, me seguía preguntando si realmente podía ser que Microsoft haya lanzado su nuevo software de seguridad sin una función que hoy en día es casi común en el resto (dejando de lado las limitadas versiones gratuitas de algunos fabricantes).

Revisando un poco esta cuestión, todo parece indicar que se trata de uno de esos tantos mitos negativos sobre MS que basta con que cualquiera los enuncie para que sean eternamente regurgitados por todos los que odian al extremo a la compañía o simplemente por los que saben que hablar mal de Microsoft rinde frutos. En el caso de MSE y su falta de análisis heurístico todo apunta a uno que se esparció por varios blogs, sitios de noticias y comentarios a causa de un test comparativo patrocinado por Symantec entre MSE y sus productos, a raíz del cual afirmó que el nuevo antivirus de Microsoft es básicamente “una versión mutilada de OneCare que sólo busca malware basándose en su base de firmas, sin incluir tecnologías actuales como las basadas en reputación o bloqueo por comportamiento”. Estas aseveraciones fueron rápidamente desmentidas por Microsoft, desde donde aseguran que MSE utiliza dentro de su motor de detección estos mecanismos en conjunto con la clásica detección por firmas. Otros artículos, como este de ZDNet UK, también hacen referencia a afirmaciones por parte de Microsoft en las que se asegura que MSE “utiliza una alta cantidad de técnicas de detección heurísticas comparado con OneCare”. También en varios tópicos dentro del foro oficial de Microsoft se planteó esta duda y fue varias veces respondida por los MVPs moderadores del mismo.

Y es muy fácil deducir de donde puede venir la confusión: Como la minimalista interfaz de configuración de MSE no posee un control específico para habilitar/deshabilitar las rutinas detección heurísticas específicamente, es posible pensar que no posee estas funciones en un primer lugar.

Por supuesto, está en nosotros creerle a Microsoft o a Symantec, o hacer nuestras propias pruebas.


Nov 27 2009

Adiós al negocio de los antivirus

Gabolonte Blasfemus

image Una de las tantas notas recurrentes que siempre se reciclan tanto en blogs como en sitios de noticias tecnológicas son las típicas estadísticas sobre los antivirus, firewalls personales, o suites de seguridad más usados, vendidos, descargados o queridos por los usuarios a la hora de proteger Windows. Porque, claro, en los otros SOs no existen los virus, los ataques… y además sus usuarios son muuuuy entelegentes, por lo que si un día vemos a un linuxero o macoso con su equipo infectado… sepan que todo es culpa de él y señálenlo con el dedo para espetar un nelsonesco “HA HA!”. Pero reencarrilémonos en el tema, samigos.

Generalmente cada ciertos años uno de estos antivirus o suites lograba ser mejor que los otros, porque demostraba claramente detectar más amenazas, poseer más funciones, o simplemente aplastar menos al sistema que los demás. Hace unos 7 años por ejemplo el podio era para Norton Antivirus 2002; por estos años el líder indiscutido fue el ídolo de niños y adultos, el remarcable NOD.

Pero esa historia acaba de cambiar, ya que en estas semanas acaba de suceder algo que se veía venir desde hace mucho pero parecía que nunca iba a llegar por completo, hasta que finalmente lo hizo: Microsoft lanzó su propio antivirus, Microsoft Security Essentials, gratuito para todos los Windows originales. En él se pueden ver solidificados los anteriores intentos incompletos que significaron Windows Defender y OneCare, que nunca reemplazaron completamente a un buen antivirus.

image

Pero esta vez es distinto. MSE es un Señor Antivirus que no tiene mucho que envidiarle a los conocidos de siempre, capaz de escanear y monitorear el sistema contra todo tipo de malware y actualizarse automáticamente, como cualquier otro que se precie. Y todo accesible a través de una interfaz simple y clara que mezcla el tipo de diálogos nortonizados que estamos acostumbrados a ver en otras suites con la claridad y simplicidad que conocemos de otras aplicaciones de MS.

image Posiblemente lo único que le falte a MSE es incluir un motor de detección heurística (ver actualización al final del post), pero a cambio de eso es hoy por hoy el antimalware menos pesado para tener instalado en Windows. En conjunto con el firewall personal básico que incorpora Windows XP SP2/3, y los más avanzados de Vista y 7, ciertamente dan lugar a que muchos anuncien que ya no hace falta pagar por seguridad en Windows, nunca más.

Y esta bomba de Microsoft en la industria de la seguridad cae en el mejor momento para su éxito, en unos tiempos de cybercrimen organizado donde el desarrollo de malware se volvió tan complejo que cualquier antivirus, incluso los considerados como los mejores, tienen graves problemas a la hora de detectar todo el código malicioso que anda dando vueltas y se actualiza día a día. Hoy ya es moneda corriente que un equipo con un buen antivirus perfectamente actualizado y un firewall personal activo se infecte de todas formas, ya sea por falta de educación del usuario o por exploits en aplicaciones, con malware que ninguna de estas dos herramientas supo detectar y frenar; entonces, para qué pagar extra si ya está visto que ni el mejor antivirus llega a tener niveles aceptables de infalibilidad?

image Ahora imagínense toda esa horda de PCs hogareñas y PyMEs de mala muerte, donde suelen ser moneda corriente los AVGs gratuitos con barras molestas, problemas de compatibilidad y molestas publicidades de sus versiones pagas más completas, pero principalmente los NODs truchos que forman legión, ya que hasta el más idiota sabe que es (o era) el antivirus con la mejor relación seguridad/molestia, aunque en países como el nuestro casi nadie quiera dignarse a pagarlo. Imaginen que de ahora en más cada vez que haga falta una reinstalación del sistema, un upgrade de ese AV que resulte molesto y/o cueste plata, o que simplemente el crack del NOD deje de funcionar, en esa máquina pase a haber un MSE, lindo, limpito, funcional, no intrusivo, y totalmente gratuito. Imaginen a todas las empresas que hacían millones alrededor del mercado de la seguridad en Windows yéndose al tongo, porque por más que a estas alturas cuenten con ultra avanzadas y complicadas suites para servidores y todo tipo de servicios y plataformas, su verdadero ingreso y su vidriera/marquesina estaba en esas versiones trial o con updates por un año que vienen en las máquinas nuevas y hacen que el usuario se acostumbre y esté más inclinado a pagar por el producto. Imaginen cuando ya a ningún fabricante de hardware le importe incluir alguna de estas suites, porque MSE (o como se llame para ese momento) venga preinstalado en Windows o se instale automáticamente ni bien el sistema comience a bajar updates. Imaginen además cuando MS saque versiones para servidores que contemplen a Exchange, ISA, MS-SQL e IIS. Veo a mucha gente preocupada.

Ya era hora que Microsoft se hiciera cargo de la seguridad de su propio SO. Lástima por los que especulaban con eso.

Actualización: Según la misma Microsoft, MSE sí posee detección heurística.