Evaluando Antivirus
Una pregunta recurrente en el mundo de la seguridad es ¿qué antivirus instalo? a lo que uno podría responder "pues el mejor!". Dejando las respuestas obvias de lado, el verdadero problema es definir "mejor". La característica que suele utilizarse para definir la calidad de un antivirus es la cantidad de malware que detecta, el que más malware detecta, es mejor. A partir de esto se han armado diferentes rankings en distintos sites. El problema es que según el lugar que visitemos, el resultado es distinto... estén o no influenciados económicamente por las empresas, claramente los reviews no se ponen de acuerdo ni siquiera en qué antivirus detecta más malware, por lo que es muy difícil armar un ranking real.

A partir de lectura de distintos comentarios y de charlas con gente que conoce del tema (incluido mi sensei Javier), y a partir de mi sentido común, armé la siguiente lista con las características que se deberían evaluar en un antivirus:

- facilidad de uso: nombrado siempre entre las características deseadas y por una buena razón: no sirve de nada tener el mejor antivirus si nadie sabe cómo usarlo. Es importante que el sistema oriente al usuario sobre los pasos aconsejables a seguir cuando se detecta algún malware.

- efectividad identificando malware: como mencionó en la introducción, es la característica más buscada y de mejor propaganda para los antivirus. El antivirus debe identificar la mayor cantidad de malware posible, tratando de mantenerse lo más cercano al 100% como sea posible. Para lograr éste cometido es importante que el antivirus soporte la mayor cantidad de métodos de detección posibles (basados en la firma, actividades maliciosas, heurísticas, análisis de archivo, emulación de archivo).

- bajo nivel de falsos positivos: algo no muy nombrado pero altamente importante es que el antivirus no reporte cualquier cosa como virus. Siempre los falsos positivos llevan a cansar al usuario y desestimar la importancia de las alertas, por lo que a la larga pueden terminar ignorando alarmas de virus reales. Si sólo se tuviera en cuenta el punto anterior, el mejor antivirus es el que reporta todo como virus!, porque claro, no se le escapa ningún virus n_n

- efectividad limpiado y aislando archivos infectados: esto es, resolver el problema del archivo infectado. En muchos casos no nos alcanza con que el antivirus reporte el virus, sino que sea capaz de eliminarlo del archivo para que podamos volver a usarlo. Por otra parte, es importante que si no se puede limpiar el archivo, que se aisle correctamente para que éste no pueda seguir infectando otros archivos.

- tiempo de respuesta ante la salida de nuevo malware: es importante que el fabricante del antivirus responda rápidamente ante la salida de un virus. De nada sirve que nuestro antivirus reconozca millones de virus si los reconoce cuando ya llevan meses dando vueltas y nos infectaron la máquina hace tiempo. Por esto, el tiempo transcurrido entre que se toma conocimiento del virus y que sale el antídoto debe ser lo más mínimo posible.

- facilidad para detectar nuevo malware: muchos virus son simplemente mutaciones de otros virus, por lo que detectar esas mutaciones es muy importante. De esta manera no hay que esperar a que el fabricante nos envíe updates con el fingerprint de los virus para detectarlos, sino que es posible detectarlos de antemano, sin que siquiera el fabricante se entere de la existencia de tales virus. Se utilizan motores de máquinas virtuales para simular reacciones de programas para detectar funcionamientos sospechosos.

- reporte activo: cuando el antivirus detecta algún malware, éste debe reportarlo inmediatamente al usuario para que decida qué hacer.

- escaneo bajo demanda y por acceso: El escaneo bajo demanda está presente en todos los antivirus y quiere decir que el antivirus escanee el/los dispositivo/s en el momento que el usuario se lo indique. Pero es muy importante que también se provea escaneo por acceso. El escaneo por acceso se encarga de que si intentamos abrir un archivo infectado éste nos avise antes de que nos infecte.

- paquete de detección: actualmente existen muchísimo malware en la red, mientras más soporte pueda dar el antivirus para mitigarlo, mejor. La mayoría de los antivirus actuales proveen, además de la detección de virus, troyanos y worms, protección contra spyware, adware, rootkits, spam, etc.

- bajo consumo de recursos: el consumo de recursos no es un problema menor. Muchos usuarios prefieren deshabilitar el antivirus porque la máquina se vuelve una carreta. El antivirus no debe consumir demasiados recursos, no debe estorbar en el trabajo cotidiano del usuario, debe ser lo más imperceptible posible.


A partir de todo esto viene a la mente la clara necesidad de definir un estándar para la prueba de antivirus que cumpla con todo lo anteriormente mencionado, y tal vez algunas cosas más que esté pasando por alto. El problema es cómo probar algunos puntos, como "facilidad de uso" que depende del usuario y "nivel de falsos positivos" que depende de los datos de muestra.

En este punto dirán, y bien? cuál es entonces el mejor antivirus?... bueno, desgraciadamente, no tengo la respuesta. Hay muchas soluciones dando vuelta, algunas más costosas que otras, e incluso algunas libres como el caso de ClamAV. Sería interesante que alguien con tiempo tomara los puntos antes mencionados y evalúe los antivirus más conocidos (Karpersky, Mcafee, Norton, NOD32, Avas, AVG, etc), comparándolos en cada punto para que el usuario pueda tomar su decisión.
Por ahora sólo puedo ofrecerles un ranking armado por la página www.virus.gr el año pasado, el cuál está basado sólo en la cantidad de malware detectado. Al parecer la página tiene el prestigio de no estar corrompida por el dinero de las empresas de antivirus por lo que el resultado es relativamente fiable, aunque como destaco en el artículo, sólo se basa en uno de los puntos importantes.
El resultado lo pueden observar en: http://www.virus.gr/portal/en/content/2008-06%2C-1-21-june y lo copio debajo:

Rank

1. G DATA 2008 version 18.2.7310.844 - 99.05%
2. F-Secure 2008 version 8.00.103 - 98.75%
3. TrustPort version 2.8.0.1835 - 98.06%
4. Kaspersky version 8.0.0.357 - 97.95%
5. eScan version 9.0.742.1 - 97.44%
6. The Shield 2008 - 97.43%
7. AntiVir version 8.1.00.331 Premium - 97.13%
8. Ashampoo version 1.61 - 97.09%
9. Ikarus version 1.0.82 - 96.05%
10. AntiVir version 8.1.00.295 Classic - 95.54%
11. AVG version 8.0.100 Free - 94.85%
12. BitDefender 2008 version 11.0.16 - 94.70%
13. Avast version 4.8.1201 Professional - 93.78%
14. Nod32 version 3.0.650.0 - 93.36%
15. F-Prot version 6.0.9.1 - 91.87%
16. BitDefender version 10 Free - 91.32%
17. ArcaVir 2008 - 88.65%
18. Norman version 5.92.08 - 87.72%
19. Vba32 version 3.12.6.6 - 87.21%
20. McAfee Enterpise version 8.5.0i - 86.57%
21. McAfee version 12.0.177 - 86.39%
22. Rising AV version 20.46.52 - 85.87%
23. Norton 2008 - 83.34%
24. Dr. Web version 4.44.5 - 82.87%
25. Antiy Ghostbusters version 5.2.3 - 80.23%
26. VirusBuster version 5.002.62 - 77.19%
27. Outpost version 6.0.2294.253.0490 - 75.35%
28. V3 Internet Security version 2008.05.31.00 - 75.23%
29. ViRobot Expert version 5.5 - 74.50%
30. Virus Chaser version 5.0a - 73.65%
31. A-squared Anti-Malware version 3.5 - 71.66%
32. PC Tools version 4.0.0.26 - 69.82%
33. Trend Micro Antivirus+Antispyware 2008 version 16.10.1079 - 67.28%
34. Iolo version 4.325 - 63.98%
34. Panda 2008 version 3.01.00 - 61.41%
36. Sophos Sweep version 7.3.2 - 54.71%
37. ClamWin version 0.93 - 54.68%
38. CA Anti-Virus version 9.00.170 - 51.08%
39. Quick Heal version 9.50 - 47.97%
40. Comodo version 2.0.17.58 - 43.15%
41. Trojan Hunter version 5.0.962 - 31.39%
42. Solo version 7.0 - 21.10%
43. Protector Plus version 8.0.C03 - 20.14%
44. PCClear version 1.0.8.0 - 19.63%
45. AntiTrojan Shield version 2.1.0.14 - 14.74%
46. Trojan Remover version 6.6.9 - 13.49%
47. VirIT version 6.2.94 - 8.63%
48. True Sword version 4.2 - 3.42%
49. Abacre έκδοση version 1.4 - 0.00%

También es interesante el ranking planteado en http://mtc.sri.com/live_data/av_rankings/ donde se rankean los antivirus en base a la cantidad de detecciones de nuevos malwares.

Un excelente libro (el mejor que he encontrado en el rubro de virus) es "The Art of Computer Virus Research and Defense" de Peter Szor un investigador de seguridad y virus que trabajó en los importantes productos AVP, F-PROT, y Symantec Norton AntiVirus, además de haber desarrollado su propio antivirus.
También es interesante recordar que algunos de los puntos que planteo ya fueron planteados en sites como http://anti-virus-software-review.toptenreviews.com/ y http://hubpages.com/hub/Antivirus-software-ranking y varios otros. Lo interesante del último link es que presenta las características de los antivirus más conocidos actualmente.
Por último y no menos importante es interesante leer como punto de partida el wiki http://en.wikipedia.org/wiki/Antivirus_software

Espero que lo descripto los ayude a decidir sobre el software antivirus a utilizar, recuerden no mirar sólo la cantidad de detecciones sino también el resto de las características.
Como palabras finales, e inevitables para mi, quiero remarcar la capacidad de GNU/Linux frente al malware. En las máquinas que ejecutan GNU/Linux es muy extraño ver software antivirus (es más creo que hay que buscar mucho para encontrar una). Esto no se debe sólo a que la cantidad de usuarios es significativamente menor o que todos son gurús, sino a la forma en que está diseñado y a la educación del usuario que fuerza el sistema. En Linux es extraño que un usuario navegue por la web estando logueado como root (el equivalente al administrador en Windows), algo muy común en Windows y que lleva a miles de problemas. Por otro lado, no existen tantas vulnerabilidades graves en el software. Vulnerabilidades hay como en todo sistema, pero no hay tanta cantidad y la mayoría no son tan graves como las que se suelen ver en los boletines oficiales de Microsoft. Además la continua contribución por parte de usuarios de todo el mundo lleva a que el tiempo de respuesta ante una vulnerabilidad sea mínimo.
Puedo seguir alabando Linux por horas, pero espero que con el comentario anterior se entienda el punto... osea, si les interesa realmente la seguridad, instalen GNU/Linux o algún otro sistema Unix cómo los *BSD, Solaris, etc.

Como siempre, los comentarios y sugerencias son bienvenidos. Espero que les haya resultado interesante =)

0 comentarios:

Publicar un comentario