Últimamente apenas me he prodigado por el blog (en "una-al-día" ni recuerdo cuando fue la última vez que escribí), básicamente por falta de tiempo. La verdad es que desde septiembre hemos estado especialmente liados en Hispasec, y las últimas semanas se podría decir que han sido casi asfixiantes. Desde el punto de vista de empresa es muy bueno, aunque en lo personal los excesos pasan factura (debo estar bajo de defensas, no levanto cabeza con el resfriado). Afortunadamente todo ha ido saliendo bien, y ahora que se acercan las navidades volvemos a velocidad de crucero, así que tendré más tiempo para daros la lata por aquí de vez en cuando.
Ayer andábamos deambulando fsantos y yo por el aeropuerto, aun faltaba hora y pico para el embarque de regreso a Málaga, y terminamos en uno de esos puestos de libros, revistas y prensa. Además de discutir sobre el uso del photoshop en una portada donde aparecía Kira Miró, seguro que sobra deciros que nuestro interés era puramente informático-profesional, me fijé también en una revista donde se anunciaba una comparativa de suites de seguridad, que resultó ser una para la que hice varios tests en octubre y noviembre.
Aunque me retiré hace tiempo de las comparativas antivirus (efecto VirusTotal), prácticamente todos los años terminan liándome para hacer algo en varias de forma indirecta, realizando algunos tests a demanda pero sin escribir ni participar en las puntuaciones y evaluaciones finales. La verdad es que me viene bien para seguirles la pista a los distintos productos. Si bien vivimos el día a día de los motores en VirusTotal, las suites de seguridad y los propios antivirus son mucho más que un motor de detección.
No están todos los que son, pero si son todos los que están en esta foto de octubre. Fueron en total 24 productos, 12 antivirus y 12 suites de seguridad. Por respecto a la evaluación y puntuación final de las revistas (no se si falta por publicarse alguna) no voy a comentar mi opinión al respecto (que es probable que no coincida), sólo destacaré una de las peores experiencias: ZoneAlarm.
Bajo mi punto de vista, uno de los problemas de este producto es que deja demasiada responsabilidad al usuario. Nada más instalarlo por defecto pueden empezar a surgir ventanas de aviso y alerta, pidiendo al usuario que decida si el proceso X (poner cualquier nombre de ejecutable) debe conectarse a Internet o bloquearse. Cuando realicé el test, al instalarlo en un sistema limpio (un Windows XP sin software adicional), me llegaron a saltar hasta 3 ventanas, todos procesos legítimos. Tengo que reconocer que alguna me hizo mirar el proceso en cuestión porque ya me hizo sospechar. La pregunta es, ¿con que criterio un usuario doméstico va a decidir si tiene que dar permiso a un proceso determinado? ¿se volverá paranoico y denegará los permisos a todo, con lo que muchas cosas dejarán de funcionarle? ¿o por el contrario acabará diciendo a todo que "sí" sea legítimo o un malware?
Hasta aquí un producto paranoico, tal vez podemos suponer que orientado a usuarios más avanzados que quieran tener ese nivel de avisos y control de decisión sobre el sistema. Pero lo cierto es que cuando lo enfrenté a malware y situaciones reales la respuesta fue muy negativa. Como anécdota, uno de los tests consistía en visitar una página web real que explotaba una vulnerabilidad de Windows para instalar de forma automática un troyano downloader, que a su vez descargaba y ejecutaba otros componentes (incluyendo funcionalidades rootkit y captura de contraseñas). Esta página se encontraba activa en Internet, y había sido publicada y publicitada hacía semanas mediante un spam masivo dirigido a usuarios españoles, es decir, estaba infectando desde hace tiempo.
Por supuesto que ZoneAlarm, actualizado y activado en el sistema, lanzó una ventana de alerta cuando visitamos la página. En la ventana nos decía que había detectado un exploit, que no era necesario realizar ninguna otra acción, que la infección había sido eliminada correctamente y ya no suponía una amenaza. También había algún otro aviso final en la parte baja de la ventana donde decía "Tratamiento incompleto", aunque no daba más detalles y cuando pulsábamos en el único botón disponible no aparecía nada nuevo.
La realidad era otra bien distinta. El exploit había sido ejecutado en el sistema, descargado el downloader, que a su vez terminaba de instalar el resto de componentes. En resumen, ZoneAlarm en memoria y el sistema totalmente comprometido. En la siguiente captura de pantalla podéis ver el momento en el que ZoneAlarm salta y como desde Process Explorer se puede apreciar la ejecución del troyano vía Internet Explorer.
