El software de seguridad es poco eficiente en la detección de exploits
La eficiencia de las suites de software de seguridad cuando un PC es objeto de algún ataque deja mucho que desear, según el la firma danesa de seguridad Secunia. La compañía basa esta afirmación en una serie de pruebas aplicadas a doce suites de seguridad Internet, en las que analizaba hasta qué punto cada producto podía detectar cuando si una vulnerabilidad software estaba siendo explotada.
Para realizar sus tests, Secunia desarrolló sus propios exploits para brechas software conocidas. De ellos, 144 eran archivos maliciosos de diferentes tipos, incluidos ficheros multimedia y documentos ofimáticos. Los otros 156 consistían en códigos de explotación incorporados en páginas Web maleadas que buscaban vulnerabilidades de navegador y ActiveX, entre otras.
Symantec fue el ganador de las pruebas, pero aun así, sus resultaros no fueron deslumbrantes. La solución Internet Security Suite 2009 de este fabricante consiguió detectar sólo 64 de 300 exploits desarrollados por Secunia; es decir, un 21,33%. Mucho peor parada salió la tecnología de BitDefender, pese a ocupar la segunda posición en el ranking empatado con Trend Micro. Su software Internet Security Suite 2009 12.0.10 no logró identificar más que el 2,33% de los exploits.
El producto Internet Security 2008, de Trend Micro, identificó un porcentaje similar de vulnerabilidades que la solución de BitDefender, y la suite Internet Security Suite 2009 de McAfee, en tercer lugar, un 2%.
Detección de cargas dañinas vs. exploits
Symantec fue el ganador de las pruebas, pero aun así, sus resultaros no fueron deslumbrantes. La solución Internet Security Suite 2009 de este fabricante consiguió detectar sólo 64 de 300 exploits desarrollados por Secunia; es decir, un 21,33%. Mucho peor parada salió la tecnología de BitDefender, pese a ocupar la segunda posición en el ranking empatado con Trend Micro. Su software Internet Security Suite 2009 12.0.10 no logró identificar más que el 2,33% de los exploits.
El producto Internet Security 2008, de Trend Micro, identificó un porcentaje similar de vulnerabilidades que la solución de BitDefender, y la suite Internet Security Suite 2009 de McAfee, en tercer lugar, un 2%.
Detección de cargas dañinas vs. exploits
El principal motivo del pobre rendimiento de estas suites en las pruebas de Secunia se encuentra en la arquitectura de los programas disponibles hoy día. El software de seguridad tiende a centrarse en la detección del malware existente en el PC después de que la vulnerabilidad ya ha sido explotada. Se actualiza con firmas o ficheros de datos que reconocen ciertas cargas dañinas que se han instalado sobre el PC precisamente explotando sus brechas, según Thomas Kristensen, CTO de Secunia.
Sin embargo, lo deseable sería, en opinión de Kirstensen, intentar detectar la explotación misma en lugar de defender después la máquina frente a innumerables descargas de malware. La explotación por sí no varía y siempre debe ser utilizada de la misma manera para hackear el PC, mientras que son innumerables las cargas dañinas –desde keystroks loggers hasta software botnet- desplegables durante un solo ataque contra la misma vulnerabilidad.
No obstante, Kristensen reconoce que identificar el código de explotación no es una tarea sencilla. Deben analizarse las versiones del programa afectado por la vulnerabilidad antes y después de la aplicación del parche correspondiente para averiguar cómo funciona tal código, por ejemplo.
Sin embargo, lo deseable sería, en opinión de Kirstensen, intentar detectar la explotación misma en lugar de defender después la máquina frente a innumerables descargas de malware. La explotación por sí no varía y siempre debe ser utilizada de la misma manera para hackear el PC, mientras que son innumerables las cargas dañinas –desde keystroks loggers hasta software botnet- desplegables durante un solo ataque contra la misma vulnerabilidad.
No obstante, Kristensen reconoce que identificar el código de explotación no es una tarea sencilla. Deben analizarse las versiones del programa afectado por la vulnerabilidad antes y después de la aplicación del parche correspondiente para averiguar cómo funciona tal código, por ejemplo.
