bsod

Nod32 Vs Kaspersky AV : Comparativa general

Posted by myself - 28/03/07 at 11:03:47 am

En vista de la gran cantidad de comentarios en pro y en contra de estos  dos antivirus que he podido leer en las salas de discusión y foros que frecuento, he decidido publicar parte del contenido presentado en el reporte  "Anti-virus comparative 2007", publicado por  AV-COMPARATIVES en febrero de los corrientes.

Cabe destacar, que a lo largo de todo el documento de 9 páginas, no se incita al lector a comprar un antivirus tan sólo por la comparativa que ellos realizan. Del mismo modo, aclaro que no se busca migraciones a un antivirus sólo porque aparece publicado uno por encima de otro en este post.

En la página de Kaspersky, puede leerse que "Kaspersky obtuvo excelentes calificaciones en la comparativa de Antivirus".

En la página de Nod32, puede apreciarse el número de reconocimientos VB100 -Virus Bulletin- ganados por este antivirus. Y también muestra la comparativa de Antivirus para 2006, en la que siempre quedó en los primeros lugares.

Sobre esto último ya hemos hablado con anterioridad en bolsanegra.

Dicho esto, es hora de mostrar la metodología utilizada (para información detallada, ir a este vínculo) para mostrar las habilidades de cada antivirus:

1. Programas evaluados.

Se evaluó un total de 17 programas antivirus, actualizados al 2de febrero de 2007. Se emplearon un millón de muestras todas revisadas al 1ro de febrero.
Avast!
AVG
Avira
Dr. Web
eScan AV +
Fortinet FortiClient
F-Prot AV
F-Secure AV +
AVK AntiVirus Kit +
ESET - Nod32
Kaspersky Lasb - Kaspersky AV
Bitdefender
McAfee ViruScan
Live One Care (Microsoft)
TrustPort AV +

(+) Son Anvirus que utilizan los motores de otros antivirus, como Kaspersky , Avast, Orion, AVP, Libra, etc. (Para información detallada, referirse al reporte)

2. Comparaciones hechas según la última comparativa.
Esta permitió determinar cuales compañías antivirus actualizaban más rápidamente sus datos sobre virus. Las que actuaron con más celeridad fueron:

3. RESULTADOS

Kaspesrsky
Dialers (200mil+) > Excelente
PUP's (130mil+) > Alta
Virus DOS (230mil+) > Excelente

Nod32
Dialers (200mil+) > Excelente
PUP's (130mil+) > Alta
Virus DOS (230mil+) > Excelente

————————————————–

Kaspersky
Polimórficos : 8 de 12

Nod32
Polimórficos: 12 de 12

————————————————-

Kaspersky
Virus para Windows, Macros, Gusanos, etc: 99%
Backdoors, Troyanos, otro malware: 97.5%
TOTAL : 97.89%

Nod32
Virus para Windows, Macros, Gusanos, etc: 97.9%
Backdoors, Troyanos, otro malware: 96.3%
TOTAL: 96.71%

————————————————-

Escala total

 

Representa una escala de certificación que muestra los niveles alcanzados por cada aplicación.

 

La nota anexa a la tabla indica que Symantec y Nod no alcanzaron la certificación AVANZADA+, porque no pudieron alcanzar el 97% requerido de detección.Sin embargo, también indican que un antivirus con alta capacidad para detectar virus polimórficos y de buena velocidad, es superior a un antivirus que haga escaneos veloces.

 

Virus Polimórficos

Esta categoría es relevante, porque demuestra la capacidad de un antivirus de adaptarse a las cambiantes cualidades del malware actual. Las muestras analizadas eran conocidas por los desarrolladores de las aplicaciones, así que tuvieron oportunidad de crear motores de detección más efectivos.

Virus de DOS.
El informe indica, que no fue tomado para la valoración total ya que desde este año, es una categoría que no se tomará más en cuenta. De haberlo tomado, los resultados habrían cambiado y algunos antivirus habrían subido de escala.

PUP's.
Potentially Unwanted Programs. Son programas que no son considerados virus, pero entran en la categoría de Malware: Troyanos, Keyloggers, Spyware, Adware, Rootkits, Backdoors, etc.

No me atrevo a dar una conclusión sobre las características de ambos antivirus. No obstante, basado en el análisis que presento, es posible concluir un par de cosas:

1. No existe mayores diferencias entre ambos antivirus. Ambos parecen ser igual de poderosos ( un 1% de diferencia, parece irrelevante ).
2. Si existiese alguna diferencia notoria, indicaría que Nod32 tiene un motor de heurísticas más poderoso que Kaspersky -y que la mayoría de los antivirus-. Esto permite detectar mayor cantidad de virus y malware no conocido.

Les recuerdo que el valor de un antivirus no debe medirse únicamente por su capacidad de detección de malware y virus, sino también por su velocidad-rendimiento-eficiencia y otros valores agregados, como interfaz amigable e intuitiva y aplicaciones generales. 

Nod32 tiene fama de ser muy silente, no suele mostrar alertas salvo casos necesarios. Kaspersky, suele dar mayor cantidad de alertas según me ha sido comentado. Y la mayor diferencia, es que las alertas de Nod, suelen ser entendibles y claras, no así las de Kaspersky que han llegado a confundir a varios usuarios, asustandolos sin necesidad.

Posible Vulnerabilidad en Firefox-Opera : IFRAME - OBJECT

Posted by myself - 26/03/07 at 12:03:03 pm

Nico, de ZonaFirefox me escribe que ha encontrado un fallo de seguridad en Firefox y Opera. Una vulnerabilidad -aparentemente no descrita- o, si ha sido descrita, no resuelta para Firefox y Opera que permite el salto del filtro antiphishing mediante el uso de un script o mediante el uso de las etiquetas iframe. 

El script en cuestión es:

function framejack(url) {var ifr = document.createElement('iframe');ifr.src= url;

document.body.scroll = 'no';document.body.appendChild(ifr);

ifr.style.position = 'absolute';ifr.style.width = ifr.style.height = '100%';ifr.style.top = ifr.style.left = ifr.style.border = 0;}

 

Analizando un poco, se trata simplemente de un script que permite insertar una página dentro de otra a 100% del ancho y largo de la ventana.

Peor aún, usando la etiqueta IFRAME se logra similar efecto: Los filtros antiphishing ni los Addons antiphishing (Phishtank Sitechecker, McAfee SiteAdvisor, Google Toolbar) detectan los sitios alterados (PRUEBA1 - PRUEBA2 - SitioMalicioso). 

Yendo más allá, me puse a investigar sobre el uso de la etiqueta OBJECT para insertar una página web usando CSS para lograr que ocupe todo el tamaño de la ventana. Opera y Firefox mostraron el sitio web malicioso sin mostrar advertencia, y las pruebas manuales de verificación resultaron igual de infructuosas.

El código que utilicé fue:

<object type="text/html" classid="http://webmail.interhk.net/B05002/index.htm" data="http://webmail.interhk.net/B05002/index.htm"></object> 

Y puede ser probado en este vínculo. 

Internet Explorer 7 es el único navegador aparentemente invulnerable al uso de etiquetas IFRAME y OBJECT para mostrar un sitio malicioso. En el caso de OBJECT, IE7 parece no dar soporte a la carga de una página web dentro de esta etiqueta, razón por la cual no carga la página.

Se trata de dos etiquetas básicas de HTML -yo no probé el uso de un script para demostrar que OBJECT también puede ser utilizado de esta manera- que permiten saltar los filtros antiphishing de manera más sencilla y peligrosa que lo expuesto por Zalewsky anteriormente al utilizar una imagen que hace las veces de barra de direcciones.

 

En ZonaFirefox :

Como burlar el filtro antiphishing con Javascript

Como burlar el filtro antiphishing con un simple IFRAME

 

 

Momento Geek : Los números binarios

Posted by myself - 23/03/07 at 05:03:23 pm

La ausencia de posts en bolsanegra esta semana se ha debido a par de razones.

La primera y más importante, he recibido una carta de pre-selección. La pre-selección implica que debo presentar una serie de pruebas. Una de las pruebas es de suficiencia en el idioma de los gringos. Como no soy gringo -y soy muy autodidacta- me ha tocado prepararme para la prueba por mi cuenta.

La segunda -y que explica el título que da inicio a este post-, es que he comenzado a 'estudiar' nuevamente. Siempre, desde que comencé a estudiar Ingeniería Mecánica (¿?), he querido certificarme en CCNA de CISCO. Si, redes informáticas para un ingeniero mecánico.  Están en lo cierto, nada tienen que ver, pero ha sido mi sueño. Al fin, he conseguido un curso de certificación que está a mi alcance económico. 

Justo ayer presentaba un examen del modulo primero, sobre los códigos binarios, los hexadecimales, generalidades en redes, etc.

Este artículo en Inglés -demostración de suficiencia lingüística para mi prueba de gringo- habla sobre mi pasión geek del día: los números binarios. Que lo disfruten. 

Pd. Enhorabuena a mí mismo myself ^^

bolsanegra.blogs -teta : Linux para no-geeks

Posted by myself - 23/03/07 at 04:03:34 pm

 

 

 

Linux, como buena basura, debe estar en la bolsanegra. Así de simple.

Si eres un flamante usuario de Linux, lo que diré a continuación es probable que te interese. Pero -y lo digo sinceramente-, debería interesarte en la misma forma si eres un flamante usuario de Windows.

La migración a Linux es un tema que causa temores hasta al más valeroso.  Hace poco comentaba sobre mi migración a este sistema operativo en su distribución apta-para-cardíacos: Ubuntu Edgy Eft. Y Nicolás fue partícipe de mi lucha contra él. 

Cuando presentaba a JMiur hace algunos meses, mencionaba que bolsanegra comenzaba su involución a beta. También tuve la osadía de mostrar una de las tantas charlas que tuvimos para llegar a incorporar a su blog -el magnánimo Vagabundia- a la bolsa. 

Ahora, no osaré a revelar los secretos de nuestras charlas sobre Linux -que incluyen chicas, cuentos sobre Windows, comandos, comandos, chicas, y alguna que otra cosa sobre Linux. Pero como usuario evangelizado de Linux, debo informarles que me es grato presentarles el nuevo y flamante blog para usuarios de Linux en la bolsa.  

Estará a cargo el mismísimo Nicolás -ese que reconocen por películas como… Y como autor de ZonaFirefox. 

Enhorabuena amigo mío. Bienvenido al mundo de los lacayos de myself. Recuerda respetar las normas y nos llevaremos bien. ; D

 

 

Muestrame las vulnerabilidades de MySpace y…

Posted by myself - 23/03/07 at 03:03:36 pm

Te diré como te robo hasta el alma.

MySpace es cuna de todo tipo de personas. Si se les da las herramientas adecuadas, entonces, tendremos problemas.

(Esto viene gracias al Mes de los Bugs de MySpace, a iniciarse el mes próximo) 

Si, el oscurantismo en la seguridad no funciona. Pero, los criminales siempre son más rápidos que los desarrolladores del lado legal. No puedes darle la mano, porque te toman hasta el hombro. 

Haganle caso a Nico -que él sabe de lo que habla

Posted by myself - 23/03/07 at 01:03:03 pm

Y Nico dijo: 

Hay extensiones que pueden no ser seguras. Otras que aportan más seguridad. Pero las extensiones estan construidas en base al navegador. Son hojas, ramas del tronco. Sobre la base de un buen navegador uno puede desarrollar extensiones tranquilamente.

Repito, una extensión de Firefox nos salva de que nos roben el historial. Es el único navegador que se salva de este caso.

PD: Incluso, si llega a darse el caso de que una extensión haga vulnerable al navegador, estaríamos ante el caso de que el desarrollador de dicha extensión ha encontrado una vulnerabilidad del navegador. A fin de cuentas, el navegador debe ser el que controla la seguridad, y el responsable de que las extensiones funcionen adecuadamente. Hay mucho por explorar aun y se irán descubriendo vulnerabilidades peores y con más frecuencia.

 

Y también dijo:

… el autor de la extensión NoScript para Firefox, ha anunciado recientemente una nueva versión experimental que sería capaz de brindar algún tipo de protección contra ataques XSS.

 

 Yo simplemente digo, usen sus extensiones sabiamente

 

Más -discusión abierta- en:

ZonaFirefox : Cuidado, tu historial al descubierto

bolsanegra : El CSS y tus huellas en la red

ZonaFirefox : NoScript incluiría protección contra ataques XSS 

Discovery en la escuela: Mythbusters

Posted by myself - 23/03/07 at 11:03:59 am

Repitan: No hay sistema invulnerable. 

 

6 reglas de oro contra el spam

Posted by myself - 21/03/07 at 11:03:59 am

Hay muchas razónes por las que un spammer está interesado en hacer llegar su contenido. Y se tomará tantas molestias como sean posibles para que así sea. La reglas básicas para evitar el spam en nuestras cuentas nos ahorran muchas horas anuales invertidas en borrar contenido que no queremos ver.

La primera y más sencilla definición de spam que se me ocurre es aquella que resume lo que es spam para mí: lo que no quiero, no necesito y por supuesto, lo que no pido. Así, podía clasificar el spam de dos maneras: el no-peligroso y el peligroso.

Cuando recibo una cadena o un correo con múltiples recipientes de una persona conocida, lo considero no peligroso. La cadena en sí puede no llevar un riesgo implícito -salvo que la persona no utilice la copia oculta y permita que todas las direcciones sean visibles-. En mi caso, este tipo de correos es mínimo ya que la mayoría de las personas de confianza saben que no tolero esa clase de correos en mi buzón. 

El spam peligroso es aquel que viene de correos desconocidos. Uno realmente no sabe cuál es la intención principal y probablemente no entienda a qué se debe o como logró encontrar nuestra dirección de correo.  Hacia este tipo de correos es que uno puede dirigir las reglas básicas.

La primera y segunda, aunque parecen diferir, son el pilar fundamental para evitar que un correo que ya recibe spam, pase a recibir más toneladas de correos basura: 

 

1. No responder al correo basura de procedencia dudosa o desconocida.

2. No abrir las imágenes en un correo basura, de procedencia dudosa o desconocida.

Pero ¿por qué?.

La razón principal es que un correo de este tipo no necesariamente llega para mostrar una información, un anuncio o lo que sea que se supone que uno es capaz de ver en él. Muchos correo basura son simplemente anzuelos para determinar si una dirección de correo es válida y está activa. Por razones obvias, responder el correo delata a la cuenta como tal. 

Abrir las imágenes es algo en lo que uno no piensa como algo que delate actividad. Pero, el correo spam no lleva imágenes adjuntas. Utilizan HTML para mostrar imágenes alojadas en un servidor remoto. Al hacer la petición para ver las imágenes, se hace notorio que desde el servidor puede detectarse cuales cuentas están activas para luego proceder a inundarlas con correo. Es por esta razón que muchos clientes de correo (Outlook, Thunderbird… ) bloquean las imágenes. El buzón de correo de Hotmail, también lo hace. 

Así que siempre que sea posible, eviten la previsualización de páginas en los clientes de correo que utilicen. O siempre busquen uno que permita bloquear las imágenes automáticamente. En esto, Thunderbird es lo suficientemente bueno.

 

3.  Nunca publicar la dirección de correo.

Es un error muy común en los foros y páginas web, que los usuarios coloquen su dirección de correo.  

El spam es una industria automatizada. No hay personas que se dediquen manualmente a recolectar posibles direcciones de correo. Basta con enviar un robot que analice los parámetros comunes en las direcciones de correo como la @ y el .com.

Existe la falsa creencia de que escribir micorreo [at] servidor [dot] com es una barrera contra los robots. Pero lo cierto, es que al ser otro patrón, también puede programarse al robot para que busque cadenas específicas.  Algunos sugieren enmascarar las direcciones de correo utilizando css y javscript. Pero eso no siempre es posible -sobre todo en los foros. Así que una solución razonable y simple, puede ser utilizar una image sin vínculo.

 

4. Utilizar una cuenta pública o una cuenta "desechable".

Esto no es una solución contra el spam. Es más bien, una solución para desviar el spam al sitio que querramos. Una cuenta pública nos permite accesar a sitios y registrarnos sin temor a que nuestro correo principal se vuelva un imán para el spam.

Existen proveedores de cuentas de correo que permiten crear una cuenta por tiempo limitado. 

 

5. Señala al abusador.

Reportar el SPAM es una noble labor. Pero a veces, es difícil encontrar buenos lugares en donde hacerlo. 

Página de Reporte de Resultados SPAM en las búsquedas de Google. 

Página de la Coalición contra Spam Comercial CAUCE. 

 

6. Mantén tu PC libre de virus.

Bien dicen que la seguridad comienza por casa. Una PC infectada puede ser una máquina de producción de SPAM. Un zombie que dedica recursos de sistema y ancho de banda en enviar cantidades astronómicas de SPAM sin que el usuario se de por enterado. O, que se da por enterado porque su conexión es pésimamente lenta y su PC no funciona como se supone que debría.

 

Adicionalmente, puedes encontrar mucha información relacionada con el filtrado de correos en:

http://email.about.com/cs/spamfiltering/
http://email.about.com/library/howto/htnegativespamfilter.htm 

 

 

El CSS y tus huellas en la red

Posted by myself - 20/03/07 at 12:03:36 pm

Leo y cito

Mediante "trucos" de manejo de CSS, se puede obtener la lista de sitios que fueron visitados por tu navegador. Pero veamos antes en Wikipedia de qué hablamos cuando hablamos de CSS: "Las hojas de estilo en cascada (Cascading Style Sheets, CSS) son un lenguaje formal usado para definir la presentación de un documento estructurado escrito en HTML o XML (y por extensión en XHTML). El W3C (World Wide Web Consortium) es el encargado de formular la especificación de las hojas de estilo que servirá de estándar para los agentes de usuario o navegadores."

Esto era antes posible sólo mediante el uso de JavaScript, ahora ni siquiera es necesario…

Todos los navegadores más importantes son vulnerables a este truco: Internet Explorer 7, Firefox 2.0.0.2 y Opera 9.10. El exploit es posible gracias a la falta de lógica condicional en CSS, los invito a leer la explicación original en inglés en el sitio http://ha.ckers.org/ –en una nota original de finales de febrero Steal Browser History Without JavaScript.

 

 

 Voy al sitio mencionado y encuentro varias cosas interesantes.  Una de ellas, es que puede utilizarse el ya casi olvidado VBScript para obtener los registros del historial mediante un CSS (aquí el script). La 'buena' noticia es que el VBScript es soportado por no muchos navegadores -diría que IE y los basados en IE únicamente- y debo decir que es buena porque limita el rango de navegadores que pueden verse afectados. No obstante, el volumen de personas que pueden ser víctimas de un script de este tipo sigue siendo realmente alto.

En una de mis ideas locas, llegué a pensar que el uso de los feeds para este tipo de acciones era mucho más factible, ya que los lectores de feeds no suelen proveer protección o bloqueo de código script. Pero uno se encuentra con la limitación de que el usuario debe acceder al feed. Y puedo decir que muchos usuarios no conocen los feeds y los pasan por alto. El CSS es mucho más amplio y obviamente, implica que basta con entrar a un sitio web para aprovecharse de la buena fe del visitante. 

 

Nico comentaba hace unos días que los navegadores deberían ser capaces de evitar este tipo de situaciones. Pero la realidad es otra ya que tienes dos tipos de tecnología del lado del servidor y del lado del usuario, que es algo que complica las cosas. 

Bendita modernización

Posted by myself - 18/03/07 at 12:03:59 am

Si. La verdad es que la eficiencia de los bancos ante tanta modernización es abrumadora.

Bancaja.es una entidad que desconozco porque 1. No tengo cuenta bancaria en ella y 2. Porque soy y estoy en Venezuela, me pide que a causa de la modernización, actualice mi cuenta.

Obviamente, esto se trata de un phishing. Ya lo he reportado a Phishtank (Reporte #124546)

 

 

FEED / RSS / EL PERRITO

Los Blogs

Search