|
|
estamos trabajando en ello
El nacimiento de VirusTotal no tiene nada que ver con planes de negocios ni con fines lucrativos. Simplemente partió de una herramienta que habíamos desarrollado internamente en el laboratorio de Hispasec para realizar nuestras propias pruebas con muestras de malware y los antivirus. Entre otras utilidades nos permitía conocer, con efecto retroactivo, los tiempos de reacción de cada motor en detectar una determinada muestra. Su nombre original, por el que aun lo conocemos internamente, es SAV.
Un día pensamos que la función básica de SAV, la de poder analizar una muestra con varios motores antivirus, podría ser útil a la comunidad, y nos hicimos la pregunta: ¿por qué no lo hacemos público?. Dicho y hecho, nació VirusTotal.
Hace apenas dos años VirusTotal vio la luz pública como proyecto con la colaboración de 11 motores antivirus y con la duda de si lo consideraríais realmente algo útil. A día de hoy procesa más de 5.000 archivos diarios que son analizados por 26 motores antivirus, y tenemos a 7 motores más esperando que han solicitado entrar a formar parte del proyecto.
Recientemente también se ha creado un comité de VirusTotal con las empresas antivirus que han mostrado un especial interés en el proyecto, formado actualmente por Avira, ESET, Ikarus, Fortinet, Grisoft, Kaspersky, McAfee y Panda, y que esperamos siga creciendo con el resto de antivirus participantes en VirusTotal. Los miembros de este comité pueden proponer nuevas necesidades, tanto funcionalidades como datos estadísticos, y se les informa y consulta puntualmente sobre todas las cuestiones que rodean al proyecto. Esta amplia representatividad permite garantizar la transparencia e independencia de VirusTotal frente a intereses individuales.
Además de contar con la colaboración de las empresas antivirus, el éxito real se debe a la gran acogida que ha tenido entre vosotros que lo utilizais y alimentais con nuevos archivos, desde CERTs hasta usuarios finales. Sin vuestra participación VirusTotal no tendría sentido, ni hubiera crecido como lo ha hecho durante este tiempo. Muchas gracias!
A día de hoy somos conscientes de que tenemos un importante cuello de botella, cada vez son más los archivos a analizar y el número de motores integrados, lo que se traduce en un mayor tiempo de espera para obtener los resultados. Uno de los caminos para crecer es añadir hardware más potente, de hecho ya contamos con algún nuevo servidor. No obstante si alguien de Intel, AMD, o algún ensamblador de servidores quiere patrocinar aportando una "supermáquina", será bienvenido ;)
Sin embargo creemos que, además de mejorar el hardware, el mayor avance se conseguirá a través del software. Es por ello que estamos trabajando en una nueva versión de VirusTotal para aumentar la velocidad y el número de análisis en paralelo, que permitirá analizar más muestras, con más motores y de forma más rápida. De momento el camino es esperanzador, en las pruebas estamos multiplicando por 10 nuestra capacidad actual.
Además de abordar ese problema, que es obvio, nos gustaría conocer que otras mejoras o nuevas funcionalidades os gustaría tener en VirusTotal. Vuestra opinión es fundamental para nosotros. Podeis dejar vuestros comentarios en el blog o escribirnos a info@virustotal.com
Gracias!
|
Bernardo: yo siempre he echado de menos que no 'os mojeis' y en las estadísticas públicas aparezcan los datos de fallos de detección o falsos positivos porcentuales desglosados por antivirus de forma que tuviéramos un barómetro actualizado de la calidad de los mismos.
josemaria: sacar estadísticas públicas de % de detección por motores es un tema bastante escabroso, nunca ha sido uno de los objetivos montar un sistema de comparativas con VirusTotal. Te cuento alguna de las dificultades.
1) De publicar dichas estadísticas, de más de 20 motores, sólo uno o dos quedarían "contentos" (los primeros), y el resto probablemente pedirían salir del proyecto. Resultado: adios VirusTotal.
2) De publicar dichas estadísticas, ya que se alimentaría de las muestras que pueden ser enviadas de forma indiscriminada y anónima, sería fácil intoxicar los resultados enviando muestras que favorezcan a un motor y perjudique a otros. Resultado: todas las estadísticas, incluyendo las de % de detección, serían poco fiables.
3) Están saliendo al mercado soluciones antivirus que son algo más que un motor. Por ejemplo (las siguientes menciones son ejemplos puramente circunstanciales, porque me he visto envuelto en evaluaciones de esos productos hace poco, hay más soluciones) Panda TruPrevent lleva análisis basado en el comportamiento, o McAfee VirusScan Entreprise protección genérica contra desbordamientos de buffer. Este tipo de tecnologías no se "ven" en VirusTotal, ya que para poder evaluarlas requiere que la muestra en cuestión se ejecute en una máquina donde esté instalado como residente el motor antivirus, sería muy complicado de automatizar en un servicio como VirusTotal (hablando con las propias empresas antivirus tampoco ven la forma de hacerlo). Resultado: no sería una comparativa que se ajuste a la realidad de lo que un usuario puede obtener instalando determinadas soluciones.
4) Los motores "paranoicos" se verían beneficiados. Como sabemos hay motores especialmente sensibles con sus heurísticas. En VirusTotal ese efecto se vería "premiado" si hacemos comparativas de % de detección puramente cuantitativas. Cuando en realidad es uno de los efectos menos deseados por un usuario.
Si pudiéramos obviar todo lo anterior, tengo que darte la razón de que sería muy interesante publicar las estadísticas de detección por motor. De hecho, nosotros internamente contamos con ellas y también son enviadas a los memberships (casas antivirus) y son muy preciadas por ellos. El problema es que requieren de un conocimiento de los diferentes motores para hacer una lectura correcta.
Por ejemplo, dado un ranking global de %, los laboratorios antivirus o nosotros mismos podemos decir cuales de las posiciones están adulteradas (por ser un motor que tiende a falsos positivos o similar), pero para un usuario de a pie es más complicado hacer una lectura correcta, simplemente se dejaría llevar por el ranking.
Te tengo que dar la razón también de que probablemente nosotros podríamos hacer una revisión más cualitativa de los resultados cuantitativos y dar unos rankings más elaborados teniendo en cuenta todos los factores mencionados. Pero en cualquier caso estaríamos convirtiendo VirusTotal en algo que no queremos, sería un arma arrojadiza de marketing utilizada por las casas antivirus, y tengo el firme convencimiento de que terminaría por destruir al proyecto. ¿Qué opinas?
Son razones bastante contundentes para negarlas... en particular la primera: las casas que salieran malparadas pedirían irse (y no se si podríais seguir publicando los resultados sin su consentimiento). El resto... pues por regla general no creo demasiado en el "black maketing" (pienso que las casas antivirus tienen otras cosas en que preocuparse que en intoxicar los resultados) y si los porcentajes se midieran respecto a especímenes no detectados y no respecto a muestras no detectadas (es decir, un mismo virus enviado 100 veces cuenta como una única "no detección") los resultados serían más difíciles de intoxicar.
Una de mis referencias a la hora de recomendar un antivirus corporativo siempre han sido las listas que publica virus bulletin (http://www.virusbtn.com/vb100/index). Es evidente que no es una comparación real: todo lo que tienen que hacer los antivirus aquí es detectar virus y no ves ninguna de las demás características que se le desean, pero si no tienes la ocasión de evaluar personalmente todos los motores ¿qué otra referencia puede ser mejor para empezar? No es perfecto pero es útil: descartas a los que no detecten un porcentaje adecuado y evaluas personalmente el resto... es una buena forma de hacer un filtro previo. Y virus total sería aún mejor por que no tendrías que esperar a la publicación de una lista anual: tendrías datos dinámicos, históricos. Una bomba. Pero bueno, que te voy a contar a ti si vosotros si contais con esos datos ;-)
Yo, además, cuento con que virustotal es una herramienta que nos sirve de referencia a los profesionales y no a los usuarios de a pie. No creo que nadie la tomara como una única referencia sino, como te digo, una referencia para empezar a elegir. En ese aspecto sería muy, muy bueno contar con esos datos.
Hola Bernardo,
Tengo algunas sugerencias para hacer aún mejor VirusTotal :-)
1) Mostrar los packers que detecta Kaspersky.
2) Sé que han contactado a Symantec, pero actualizarlo a una versión reciente con detección de adware/spyware/riskware.
3) Hacer más seguido esos uno al día de Hispasec sobre gusanos que se están expandiendo y si los antivirus lo detectaron por heurística, el tiempo de la firma, etc.
Saludos,
André
Hola andré
Sobre los packers de Kaspersky estamos en ello, nos facilitaron una versión más reciente del motor (una 5.x) con la que es fácil extraer esa información, el problema que era bastante más lenta al lanzarla. Creo que ahora vamos a probar una v.6. Actualmente estamos dando la información de packers que "cantan" F-Prot y Dr.Web al final de la página web de resultados (tenemos pendiente dar esa información a través del interfaz por e-mail).
Con Symantec efectivamente estamos pendientes de recibir un motor más actualizado.
Lo de los una-al-dia con datos sobre tiempos de reacción, es cierto que no se prodigan nada. La verdad es que ha cambiado bastante el panorama desde hace más de un año. A día de hoy no se ven los típicos gusanos de propagación masiva que protagonizaban los titulares en la prensa. En cambio el panorama es mucho peor, hay una diversificación brutal, la producción de malware se hace en cantidades industriales. Es ahí cuando me encuentro el problema de que muestra escoger para hacer ese tipo de comparativas.
¿Alguna sugerencia de cual es el patrón que debe seguirse para seleccionar las muestras representativas de ese tipo de comparativas?
Hola Bernardo,
Gracias por tu respuesta.
Estoy de acuerdo con que la tarea de los uno al día se hace cada vez más difícil. Hay miles de Bots que se están expandiendo.
El patrón quizá podría ser los Bagle u otros gusanos de gran propagación. Tomar en cuenta sólo malware que se haya expandido a nivel internacional, en más de 4 países de forma significativa. ¿Qué opinas?
Saludos,
André
hola...este proyecto me ha sido muy util, sobre todo para analizar aplicaciones que a simple vista parecen inofensivas...
hasta ahora no me ha fallado alguna vez...lo unico que me gustaria ver en virus total seria un motor que pudiera detectar los keyloggers, ya que considero son algunas de las molestias mas dificles de detectar (actualmente no se si haya detectado algun sencillo), ya que los mas sofisticados pasan desapercibidos por antivirus reconocidos incluso como el panda, norton, o Mcafee...
como sabran, los KL pueden instalarse escondios en algun programa (como cualquier buen malware), y como dije, con virus total he detectado intrusos en programs que se veian tan comunes e inofensivos, asi que con estas amenazas, se llega a desconfiar de aplicaciones a las que se le tenian confianza...
seria lo unico a agregar, ya que los motores actuales son de los mejores que hay, y espero este proyecto de virustotal no llegue a caer...saludos al staff
HOLA!
La verdad es que no voy a hacer alguna contribucion importante debido a mi poco conocimiento en el tema.
Lo que si que voy a decir, que el servicio me parece excelente, la primera vez que cai en la pag (agradezco a google) pense "que buen servicio! cuantos euros m van a querer currar esta gente?" pero descubri que era SENCILLO de usar y GRATIS cosa que me llamo muchisimo la atencion, en estos dias es dificil encontrar una herramienta medianamente UTIL y ademas gratuita.
El servicio me ha salvado muchas veces de utilizar archivos o de instalar supestas cosas que no eran mas que keyloggers o troyanos, sobre todo cuando me encontraba en PCs que no eran la mia y no contaba con mi antivirus predilecto (cosa que no viene al caso) y devido a que tengo la costumbre de meter todo lo que puedo en mi pen drive, muchas veces me he ahorrado un disgusto.
Si bien no utilizo el servicio para cosas realmente importante, considero que el servicio que aportan es EXCELENTE y es una gran contribucion en mi caso para el usuario final y con poca experiencia en el caso. Simplemente con 2 click y un poco de paciencia puede saber que tan seguro es o no un archivo.
Sigan asi, no aflojen y si hay que firmar un blog, clickear en unranking o lo que sea para apoyar al proyecto avisen!
Sinceramente Alfonso
P.D: MUCHACHOS LOS QUIERO MUCHO!!!
Muchas gracias por vuestro excelente trabajo.
me gustaria ayudaros, de corazon os lo digo, sé lo que es sudar para salir malamente en la vida
Hola Bernardo,
Mas que sugerencias para mejorar, simplemente quiero felicitarlos por la excelente herramienta que es Virus-Tota para los que diariamente estamos intentando ayudar a otros a desinfectar sus equipos.
Ojalas se consiga esas "Supermáquinas" para que el servicio de Virus-Total" se siga brindando como hasta ahora, ya que me imagino el humo que estarán sacando los servidores actuales.
Muchas suerte con la nueva versión !!
Salu2
Sublime.
Una idea media loca, es que se podria crear un software multi-av. Basado en la inteligencia... Que solo "scane" los procesos y servicios sospechosos (P.E, DLL; etc), que funcione con conexiones de banda ancha, enviando los codigos a un servidor (especial av) para examinarlo con los motores av actualizados y envie el ok o la advertencia de virus al cliente. Sin desperdiciar recursos de memoria y procesador y teniendo todo centralizado y actualizado en redes enteras.
Será el futuro?
Hola.
Gran herrramienta!!
Utilizo normalmente Firefox, y eventualmente otros navegadores.
Me gustaría poder disponer de alguna extensión que hiciera más fácil el acceso a ésta página.
Hola, vuelvo a ser yo.
Sigo probando y al enviar algunos ficheros obtengo descripciones no muy explícitas del tipo "suspicious" ?¿?¿?
Estaría bien poder acceder una vez que se ha finalizado al análisis a algunos datos más de los diferentes antivirus. Sobre todo en casos como el anterior. Alguna explicación más. Algo más de info.
Un saludo.
___________
Neftalí
excelente página !!! mi sugerencia seria ampliar el peso maximo de los archivos, porque hay programas como Nero o Reproductores u otros k me he quedado con las sospechas
Eso!!! grax
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/131/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
|
