El software de seguridad funciona mal en Exploit Test

Las suites de software de seguridad están haciendo un trabajo pobre para detectar cuándo se ataca el software de una PC, según el vendedor danés Secunia.

Secunia probó qué tan bien una docena de suites de seguridad de Internet podían identificar cuando se explotaba una vulnerabilidad de software, dijo Thomas Kristensen, CTO de Secunia.

Ese es un enfoque diferente de cómo se diseñan hoy los programas. El software de seguridad tiende a centrarse en la detección de software malicioso que termina en una PC después de que se ha explotado una vulnerabilidad. El software se actualiza con firmas, o archivos de datos, que reconocen ciertas cargas útiles maliciosas que se entregan a la PC después de la explotación.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Hay una clara ventaja al enfocar en la detección de un exploit en lugar de defenderse contra innumerables cargas útiles, dijo Kristensen. El exploit en sí mismo no cambia y debe utilizarse de la misma manera para que la PC sea pirateada.

Se podría implementar una cantidad innumerable de cargas útiles, desde registradores de pulsaciones de teclas hasta software de botnets, durante un ataque contra una vulnerabilidad.

Sin embargo, la identificación del exploit no es tarea fácil, dijo Kristensen. Las versiones del programa afectadas por la vulnerabilidad deben analizarse antes y después de aplicar un parche para descubrir cómo funciona el exploit.

Para su prueba, Secunia desarrolló sus propios exploits operativos para las vulnerabilidades de software conocidas. De esos exploits, 144 eran archivos maliciosos, como archivos multimedia y documentos de oficina. Los 156 restantes fueron exploits incorporados en páginas web maliciosas que buscan vulnerabilidades de navegador y ActiveX, entre otros.

Symantec saltó a la cima, pero incluso así, sus resultados no fueron estelares: Internet Security Suite 2009 de la compañía detectó 64 de 300 exploits, o 21.33 por ciento del conjunto de muestras.

Los resultados empeoraron. La versión 12.0.10 de Internet Security Suite 2009 de BitDefender quedó en segundo lugar y detectó el 2,33 por ciento del conjunto de muestras. Internet Security 2008 de Trend Micro tuvo la misma tasa de detección que BitDefender, seguido por Internet Security Suite 2009 de McAfee en tercer lugar con un 2 por ciento.

Kristensen advirtió que Secunia sabía que la mayoría de los proveedores no se concentran en detectar exploits. Pero sería beneficioso para los vendedores comenzar a crear firmas para exploits en lugar de simplemente cargas útiles, ya que podría ahorrarles más tiempo. Hay muchos menos exploits que cargas útiles, dijo.

Vendedores como Symantec parecen estar avanzando en esa dirección, ya que ha creado firmas para exploits relacionados con Microsoft, dijo Kristensen.

"No estamos viendo nada de los otros proveedores tienen algo similar a eso ", dijo Kristensen.

Mientras tanto, los usuarios deben aplicar parches de software tan pronto como se publiquen. Si hay un retraso entre cuando un exploit es público y se publica un parche, los usuarios también pueden simplemente evitar el uso del programa en particular.

"Demasiadas personas piensan que no tienen nada de qué preocuparse si solo tienen [software antivirus]". Kristensen dijo. "Desafortunadamente, definitivamente ese no es el caso".