¿Se desvela una "guerra sucia" en el mundo de los antivirus? (I)

miércoles, 26 de agosto de 2015

En el mundo de los antivirus (y en otros muchos) probablemente existen las "tácticas de guerrilla", bien sea a través de una publicidad poco honesta, comparativas "compradas", pequeñas "mentiras" o exageraciones en los análisis, plagios descarados... pero, ¿una estrategia especialmente dirigida contra los competidores? ¿Inducirles a la desconfianza forzándoles a detectar importantes falsos positivos? Acusan a Kaspersky de haber realizado esta práctica. Veamos si es cierto.

El maravilloso mundo de los falsos positivos

Cuando se cree que las firmas y las detecciones lo son todo para un motor, cuando VirusTotal se convierte en un injusto escaparate de lo que una tecnología es capaz de hacer... un falso positivo es una de las peores situaciones que le pueden ocurrir a un antivirus. Generan desconfianza, mala imagen, críticas... Pero si el falso positivo se produce en un fichero de sistema, el problema es descomunal. Si el fichero de sistema es vital para Windows y deja de arrancar... el ridículo y las pérdidas (ya económicas), muy considerables. Y... esto les ha pasado a la inmensa mayoría de los grandes jugadores de la industria. Cada cierto tiempo, grandes meteduras de pata, y constantemente (cada día, en cada versión de miles de programas legítimos), se detectan pequeños y grandes falsos positivos. Y esto sin contar con las líneas grises propias del adware, un problema completamente aparte.

Por poner un ejemplo, cuando VirusTotal decidió trabajar con Microsoft para que le confirmara qué software legítimo de Microsoft estaba siendo marcado como malicioso por algún motor, en una semana de trabajo detectaron 6000 casos de falsos positivos, sin demasiado esfuerzo y sobre un conjunto relativamente pequeño de ficheros.

Por poner otro ejemplo, en Tacyt, si buscamos los apks más populares que han sido detectados (como falso positivo, se entiende) en algún momento por algún motor... aparecen casi todas las apps más conocidas. Pero aunque los falsos positivos siempre son menores que los "falsos negativos" (que no son más que el resultado de las carencias propias en la detección), estos son más difíciles de ver para el usuario, así que no preocupan tanto a la industria, casi que se da por hecho y hemos aprendido a vivir con el problema. Se celebra exageradamente la caza de una muestra fresca, se critica o excusa (dependiendo de su complejidad) que pase desapercibida, pero... no se perdona tanto la detección equivocada (continuada).

Qué ha pasado

Ante este panorama, una de las peores zancadillas que se pueden poner en el mundo de los antivirus es la de inducirle a detectar goodware como malware y medrar su reputación. Durante los últimos años, "ha sido más fácil que nunca", puesto que desde la llegada de VirusTotal en 2004, se han dado dos circunstancias importantes:
  • Las casas antivirus pueden enviar muestras y saber rápidamente qué opina la competencia con un análisis estático. Esto ha permitido que muchos laboratorios se relajen. "Oye, si las compañías X, Y y Z lo detectan como malware... ¿quién soy yo para contradecirles? Hagamos una clasificación rápida, al menos para cierto tipo de muestras". Y efectivamente, se produce una especie de "efecto dominó" en la detección (equivocada o no) tantas veces demostrado como escasamente admitido.
  • Las muestras se distribuyen entre todas las casas antivirus y por tanto algunos laboratorios, ante tal avalancha, clasifican en primera instancia según los resultados de esas compañías X, Y y Z porque se sabe que suelen realizar un buen trabajo.
¿Quiénes son esas compañías en las que "todo el mundo confía"? Pues las más reputadas (sea lo que sea que eso signifique, aunque solo sea un mayor gasto en marketing). Sin duda Kaspersky suele estar entre ellas. ESET (por su habilidad con firmas estáticas y heurística), Microsoft (no destaca por su volumen de detección pero suele ser muy específico por firmas y poco tendente al falso positivo), Avast (gran detector de muestras frescas, aunque de forma muy genérica), AVG... en definitiva, se valoran las características conocidas de cada una y así cada laboratorio "cocina" su fórmula para "homenajear el trabajo ajeno".

¿Qué opinan estas casas antivirus sobre estas prácticas? A nadie le gusta que se aprovechen de su trabajo, aunque casi seguro que todas, en algún momento, han mirado al pupitre ajeno para mejorar su nota. Kaspersky fue la primera en demostrar esta práctica con un experimento realizado en 2010. Creó unos cuantos ficheros benignos e hizo que su motor los marcara en VirusTotal como malware. Era una mentirijilla, un "falso positivo" controlado para ver cómo reaccionaban el resto de casas. Diez días después, 14 motores más detectaban este "no malware", en un efecto dominó que dejaba claro quién se fijaba en quién a la hora de marcar con una firma un supuesto malware. Hicieron público el experimento y denunciaron la situación, no sin cierta polémica. Este juego, aunque sirviese como muestra, no "demostraba" por sí solo. Además empañaban la imagen de cara a los usuarios y desacreditaba en cierta manera la función de una herramienta de seguridad no infalible pero sí imprescindible para muchos.

Pero... ¿Llegó Kaspersky más allá?

Parece que dos antiguos trabajadores de Kaspersky han acudido a Reuters para denunciar (de forna anónima) que cuando trabajaban en el laboratorio, Kaspersky mantenía un plan mucho más sutil y maquiavélico para que los competidores cayeran en el falso positivo detectando ficheros importantes y/o comunes como malware. Al margen de la acusación (que levanta muchas dudas), ¿cómo se supone que lo hacían? Aunque no desvelan los detalles técnicos, lo intentaremos explicar en la próxima entrega.

¿Se desvela una "guerra sucia" en el mundo de los antivirus? (y II)

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario