30 sep. 2008

¿Todavía es necesario ejecutar escaneos programados en máquinas protegidas por sistemas antivirus?

Traducido para Segu-Info por Raúl Batista.

Un compañero profesional de TI dijo que nunca más sería necesario ejecutar un escaneo de virus en una PC porque la mayoría de los antivirus escanean el sistema en tiempo real, ¿es cierto esto?

Si bien es cierto que los sistemas antivirus escanean la mayoría de los archivos verificando que se cumplan las condiciones establecidas por las firmas más nuevas instaladas, no escanean el sistema de archivos en tiempo real. El sistema de archivos es monitoreado efectivamente por accesos y manipulaciones de archivos de una forma que el programa antivirus considera que es una amenaza.

Bueno, analicemos estos hechos. He asistido a varias conferencias de seguridad de TI y leído más que suficiente del material de referencia sobre Hawking y técnicas forenses para proteger de intrusiones a las computadoras. Aunque no hay una biblia en este tema, la mayoría de los profesionales de TI que conozco, que tienen bastante exposición en estos temas, están de acuerdo en que ningún producto antispam o antivirus puede atraparlo todo.

Por ejemplo, no estoy escogiendo a Symantec específicamente, ni voy a citar un ejemplo preciso, pero este asunto sucedió de verdad. El antivirus tiene las últimas firmas actualizadas. El servidor fue emparchado con las últimas actualizaciones críticas y recomendadas. Sin embargo, había un alto uso de memoria en el servidor en cuestión. Fue solo después de escrutarlo con Process Explorer de Systinternals, PsList (también de Sysinternals) Netstat, Task Manager, una conexión remota de archivo UNC, y un escáner remoto de puertos que pude confirmar que había una intento de intrusión en progreso.

El servidor había sido emparchado apenas después de unas 16 horas que se había publicado un parche para una vulnerabilidad conocida. A través de este diminuto agujero, sucedió un ataque de elevación de privilegios. Luego se instaló una herramienta de intrusión y se plantó un “rootkit”.

El “rootkit” ocultó claves del registro, procesos y archivos. Una vez descubierto, fue eliminado con suficiente facilidad mediante herramientas conocidas.

Sin embargo quedaron otros problemas (esto fue confirmado por las fechas de archivos y verificando las copias de resguardo) y resultó que otro troyano, que el AV supuestamente podía detectar y limpiar, permaneció en la máquina. Aquí es donde viene la parte interesante. El troyano en realidad no fue eliminado. Hubo errores humanos en los cuales los registros no fueron escrutados para confirmar que el intento de limpieza en realidad había fallado. Este troyano no era la misma iteración que detectaba el antivirus. Mientras el servidor comenzó a ser monitoreado con filemon, psexplorer vigilando los hilo de ejecución, y netstat, la infección original permanecía allí.

Se envió anónimamente una copia al fabricante del AV y en pocas horas, publicaron un “rapid release” que atrapaba el archivo infectado con la protección de tiempo real. El fabricante del AV dijo que era la misa iteración de un virus conocido, pero un programador de un fabricante de AV de la competencia citó diferencias en la mutación.

Mientras sucedía esto, otro sistema fue infectado así que se procedió de la misma forma para monitorearlo. Se realizó un escaneo en tiempo real antes que apareciera el “rapid release”, y el archivo fue puesto en cuarentena exitosamente.

Claramente, las compañías de AV están haciendo lo mejor que pueden para actualizar su documentación precisamente a medida que se sale la información, pero la solución es crítica y usualmente se publica más rápido. En parte, es por esto que quizás los fabricantes acepten envíos anónimos de archivos, para ayudar a mantenerlos actualizados con los virus que hay “sueltos”.

Lo que quiero señalar es que el escaneo de antivirus en tiempo real no detecta todo. Para ser honesto, a un escaneo programado también puede escapársele un virus, pero si un archivo tiene síntomas similares a un virus conocido, podría tener código oculto adicional o funcionalidad que se pueda ocultar de los escáneres actuales de tiempo real.

Así que mi respuesta a la pregunta es SI, los escaneos programados en las PC son altamente recomendables como parte de su estrategia de defensa en profundidad contra el Spyware, malware, troyanos y virus.


Autor: Brad Bird

Fuente: http://blogs.techrepublic.com.com/security/?p=607

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!