it-swarm-es.com

¿Son efectivos los antivirus o antimalware basados ​​en firmas?

¿Son efectivas las soluciones antivirus o antimalware basadas en firmas? ¿Se ha perdido la batalla contra la cantidad cada vez mayor de malware, particularmente rootkits, que están en la naturaleza?

21
Sim

Yo diría que los sistemas de seguridad basados ​​en Anti-Virus/Ani-Malware y otros lista negra tienen Las siguientes deficiencias graves:

  1. No pueden protegerse contra nuevas amenazas (aún no listadas) como vulnerabilidades de día cero
  2. Proporcionan un falso sentido de seguridad
  3. Sus archivos de firma son ilimitados de tamaño y siempre siguen creciendo
  4. Debido a 3. se vuelven más y más impuestos en los recursos (memoria, CPU, etc.) tiempo extraordinario

En contraste, sistemas de seguridad basados ​​en la lista blanca que permiten lo que es conocido, rutinario y seguro, mientras no permitir (con la opción de preguntarle al usuario si permitir o no) todo lo demás, es mucho más sostenible, efectivo, eficiente y realmente seguro.

Esta no es solo mi opinión, es un principio en el que muchos expertos prominentes de seguridad están de acuerdo. Ver por ejemplo: Este artículo de WiReD


[Actualización: 2014-07-29]

Pero empeora: imagine una aplicación grande y compleja, monolítica, que se ejecuta en su computadora con los más altos privilegios. Intercepta muchas llamadas al sistema y, a veces, cambia su semántica, instala controladores de kernel en las actualizaciones, emplea un filtro de paquetes que detecta todo lo que entra y trata de controlar efectivamente todo lo que su computadora puede o no puede hacer. Lo que acabo de describir es la esencia del software AV. Esto es exactamente lo que hacen la mayoría de ellos. El resultado es que el software AV típico aumenta dramáticamente su superficie de vulnerabilidad de ataque. De hecho, el malware moderno a menudo busca vulnerabilidades de software AV para explotar (ver esta referencia, por ejemplo ). Esta es la razón por la cual muchos expertos en seguridad consideran que los programas AV son los virus más grandes jamás inventados.


¿Qué usaría personalmente en su lugar?

Una combinación de protecciones basadas en listas blancas, en muchas capas. Cuando uno falla, los otros pueden tener éxito:

  1. Cortafuegos que permiten solo lo que está conocido y diseñado para ser permitido
  2. Sistemas de escáneres de registro, cable de disparo, firma de archivo (detección de intrusos, basados ​​en anomalías)
  3. Sand-boxes, máquinas virtuales en torno a software más vulnerable como los navegadores
  4. Un sistema operativo reforzado que protege contra la ejecución de datos, admite la carga de direcciones aleatorias, realiza comprobaciones de tiempo de ejecución como comprobación de parámetros de llamadas al sistema, etc.
  5. Conexiones seguras y encriptadas como las proporcionadas por ssh
  6. Un entorno que le permite a uno mirar el código fuente del software instalado y construir a partir de esa fuente o al menos descargar paquetes de un número pequeño de fuentes de buena reputación en lugar de una gran cantidad de sitios aleatorios.
  7. Contraseñas seguras o mejores frases largas, un buen administrador de contraseñas, autenticación de dos factores

No hay bala de plata. La seguridad es un área compleja afectada por muchos factores. Se pueden usar los principios anteriores (y más) para aumentar la seguridad, pero nunca se puede estar seguro de que es 100% seguro dada la complejidad del hardware, el software y la gran cantidad de vectores de infección potenciales.

7
arielf

Un sistema de detección basado en firmas no puede ser la solución solo, pero puede ser parte de la solución. De hecho, encontrará que muchos de los productos AV que tienen detección de comportamiento y detección heurística también emplean detección basada en firmas. Es simple, es rápido, las posibilidades de falsos positivos son muy bajas. Pero las posibilidades de falsos negativos son altas, y ciertamente fracasas contra nuevos ataques.

21
user185

Mire estos videos en securitytube

lo que demuestra lo fácil que es evitar la detección de antivirus. El antivirus basado en firmas necesita vivir, pero si quieren ganarse la vida, no será suficiente limitándose solo a la detección basada en firmas.

Tiene herramientas automatizadas que pueden usar para disfrazar su malware, lo que hace que distribuir un malware que no detecte problemas sea fácil.

También tiene los desafíos de código polimórfico que hace que la verificación basada en firmas sea aún más difícil. La batalla no se pierde de ninguna manera, pero hoy es significativamente más difícil de bloquear por firma que hace 10 años.

10
Chris Dale

Se perdió cuando alguien como su madre podría perder su identidad y sus tarjetas de pago por fraude.

Diría que, no, los antivirus y antimalware han sido muy ineficaces desde el desbordamiento del búfer de Windows en 1999. En 2010, están agregando combustible al fuego y hacen que los sistemas sean más inseguros, y no solo porque proporcionan un falso sensación de seguridad. Están siendo atacados activamente y se usan como rootkits o puntos de entrada.

6
atdre

Podrías hacer un inverso, i. mi. tener sumas de comprobación para ejecutables válidos, de lo contrario las firmas están fuera de lugar.

4
zeroknowledge

Depende de lo que entiendas por efectivo. Este método solo notaría virus conocidos. Pero si se conoce un virus, también es seguro qué tipo de vulnerabilidad explota. En el pasado, esas vulnerabilidades ya se repararon cuando el virus se propagó o se corrigieron directamente después de darse a conocer.

Entonces, si el sistema se actualiza regularmente, un escáner de virus no tendría mucho beneficio. En el lado negativo, el escáner de virus ralentiza la computadora y a menudo molesta a las personas.

A menudo aconsejo a los usuarios domésticos que no instalen cualquier software antivirus. En su lugar, deberían considerar algunas sugerencias generales (actualizaciones periódicas, principio de privilegio mínimo, etc.). Cada medio año más o menos verifico esos sistemas con algún CD antivirus. Durante ~ 10 años, ninguno de esos sistemas se vio afectado por un virus.

No considero que la batalla se pierda. Si el usuario presta atención a la seguridad de su computadora, podría mantenerse a salvo.

4
qbi

AV es un control de lista negra que intenta enumerar lo que está mal y bloquearlo, permitiendo todo lo demás de forma predeterminada. Este tipo de control es muy conveniente pero no muy efectivo, y en el caso de AV es más o menos una admisión de derrota.

Desde el punto de vista de la seguridad, generalmente es mejor enumerar lo que está permitido y negar todo lo demás de forma predeterminada. Por supuesto, esto es mucho menos conveniente pero también mucho más efectivo.

Preferiría ver sistemas que funcionen permitiendo solo el puñado de programas que instalé y autoricé explícitamente para ejecutar, en lugar de intentar detener los miles de millones de programas que no quiero ejecutar. Creo que la tendencia actual hacia las 'tiendas de aplicaciones' es algo útil a este respecto.

3
frankodwyer

Creo que tienes que evaluar tu situación para tomar esa determinación. Los programas de AV en la lista negra en realidad son capaces de detectar millones de diferentes tipos de malware. Si es vulnerable a ese malware y ve mucho malware, creo que sería difícil decir que no es efectivo.

Sin embargo, es solo una pieza de defensa de seguridad. La lista negra es principalmente reactiva (algunas coincidencias genéricas, pero falsos positivos más altos). Cuando se lanzan actualizaciones, por definición, ya son antiguas. Cualquier nuevo malware no estará en la lista.

Muchos de los grandes proveedores de AV están haciendo una especie de detección y actualizaciones en tiempo real a través de "la nube", pero esto solo acorta el tiempo entre actualizaciones.

2
Bradley Kreider