HEURISTICAANTIVIRUS

SeguridadInformtica: elanlisisproactivodeamenazas

Autor:SebastinBortnik

Heurstica Antivirus - Sebastin Bortnik

ElpresentetrabajoespublicadobajounalicenciadeCreativeCommons, AtribucinNoComercialCompartirObrasDerivadasIgual2.5Argentina Ustedeslibrede:

copiar,distribuir,exhibir,yejecutarlaobra. hacerobrasderivadasdeella.

Bajolassiguientescondiciones:

Usteddebeatribuirlaobraenlaformaespecificadaporelautoroel licenciante. Ustednopuedeusarestaobraconfinescomerciales. Siustedaltera,transforma,ocreasobreestaobra,slopodrdistribuirlaobra derivadaresultantebajounalicenciaidnticaasta.

http://creativecommons.org/licenses/byncsa/2.5/ar/

-Pg. 2 de 35

Heurstica Antivirus - Sebastin Bortnik

HEURISTICAANTIVIRUS SeguridadInformtica:elanlisisproactivodeamenazas.
Resumen La tecnologa est cambiando rpidamente y los virus informticos se han adaptado para aprovechar estos cambios e incrementar los daos causados y, fundamentalmente, su capacidad de propagacin. La velocidad con la que se reproducen los virus ha crecido exponencialmente,msquelacapacidaddeloslaboratoriosantivirusparacombatirlos.Enla ventanadetiempoquesegeneraentreellanzamientodeunnuevovirusylacreacindeuna vacunaparaprevenirlo,seinfectancadavezmsordenadoresylosmtodosoriginariosde prevencinqueseutilizaban,yasoninsuficientes. En el presente trabajo, se expone en qu consisten las nuevas soluciones que han desarrolladoempresasantivirusparaprotegerlossistemas,sinlanecesidaddebrindaruna vacunaespecficaparacadavirusencontrado.Estas,sebasanenlautilizacindebsquedas heursticascomocomplementoalosmtodosyaexistentes.Lostemassonabordadosdesde una perspectiva conceptual, independiente de las implementaciones tcnicas de cada empresa. Amododecierre,seincluyeunmodeloparalacreacindereglasheursticasenseguridad, quesintetizaatravsdeunesquematerico,losconceptosdesarrolladosalolargodetexto. Abstract Technologyischangingrapidlyandcomputerviruseshavetakenadvantageofthesechanges toincreasedamagesand,mainly,itscapacitytospreadmorequickly.Thespeedofviruses propagationhasexponentiallyincreased,fasterthanthecapacityofantiviruslaboratoriesto fightthem.Thereisawindowtimebetweenthelaunchofthenewthreatandtheappearence ofthesignaturetopreventit.Inthemeantime,moreandmorecomputersgetinfected.Asa consequence,theoldtoolstodetectcomputervirusesarenotenough. Thispaperpresentsnewtoolsthatantivirusescompanieshavedevelopedtoprotectcomputers, without the need of signatures of previously captured viruses. It also shows what these solutions consist of. They are based on heuristic research as a complement to the already existingmethods.Thispaperdoesnottakeintoconsiderationthetechnicalimplementationof each vendor, but rather tackles the subject matter from a general view. As a closure, this researchworkincludesamodelforthecreationofheuristicrulesinsecurity,whichsummarizes, throughatheoreticaloutline,theconceptscontainedinthistext. Autor/Author:SebastinBortnik Palabras Clave: heurstica, antivirus, seguridad informtica, virus, malware, mtodos de prevencin,proactivo. KeyWords: heuristic, antivirus, information security, virus, malware, prevention methods, proactive. Fecha/Date:Agostode2007/August2007

-Pg. 3 de 35

Heurstica Antivirus - Sebastin Bortnik

INDICE
Introduccin Quesheurstica HeursticaeInformtica HeursticaySeguridadInformtica HeursticaAntivirus Quesunvirus Brevehistoriadelsurgimientodelosvirus Cmofuncionaunvirus VirusoMalware? Ejemplosdevirus Antivirus Heursticaantivirus Aspectosnegativosdelaheurstica Tcnicasheursticas Cmoseevalaunatcnicaheurstica Laheursticareemplazarlaexploracinporfirmas? OtrasaplicacionesenSeguridadInformtica Antispam Firewall FiltrosdeInternet EducacinenSeguridad Conclusin Modelotericoparalacreacindereglasheursticasenseguridad Fuentes 25 25 26 26 27 29 31 13 13 14 15 16 17 19 20 21 21 24 5 7 10 12

-Pg. 4 de 35

Heurstica Antivirus - Sebastin Bortnik

INTRODUCCIN
Elconceptodeheursticaespocopopularenlaactualidad,apesardequesuconcepcin provienedelaGreciaantigua.Alolargodelosaossefueintroduciendoelconceptoen diferentesciencias,inclusoenlascienciasdelacomputacin. En el rea de la Seguridad Informtica, el trmino se volvi popular a travs de los softwareantivirus,encargadosdeprotegeranuestroscomputadores,detodotipodevirus (omalware)quepuedaingresarenlydaarlo.Muchosusuarioshabrnescuchadoque ciertoantivirus,utiliza bsquedasheursticassinsaberqusignificatalafirmacinyqu implicanciatieneestoenelrendimientodelsoftware. Existendiversosescritossobrelaaplicacindelaheursticaenantivirus.Sinembargo,se pretendeconelpresentetrabajo,aportarunavisinmsglobal,estudiandoelconcepto desdesusorgenesysusaplicacionesmsalldelainformtica.Enconsecuencia,se presentarn analogas y ejemplos con respecto a las personas y sus decisiones heursticas. Las tcnicas heursticas ya son aplicadas por muchas de las empresas que proveen soluciones antivirus y, de hecho, ya son indispensables para el buen desempeo del softwareylaseguridaddenuestraPc.Desdeya,quelosalgoritmosutilizadosporcada motor antivirus no son publicados y, como se ver, no cualquier heurstica ofrece resultadospositivos.Sinembargo,noespropsitodelpresentecompararyjuzgaralas diferentes empresas antivirus sinosimplementeestudiar elconceptoysusaplicaciones ms all de las implementaciones particulares de cada empresa, que pueden ser evaluadasporcadausuarioenparticular. Enlosltimosaos,teniendoencuentasucrecimientoenlossoftwareantivirus,sehan comenzado a aplicar razonamientos heursticos en otras aplicaciones de la Seguridad Informtica, tales como sistemas de deteccin de intrusos (IDS), antispam y otros. Es decir,laheursticaseencuentraenunaetapadecrecimientoenelreadelaseguridad. Estosedebeanuevascaractersticasdelasamenazasinformticasqueexistenhoyenla redqueobligaronareformularlasestrategiasdedefensayprevencinyaque,comose explicar posteriormente, las utilizadas hasta el momento ya no brindan suficiente proteccin. Como conclusin, he desarrollado un modelo terico para la creacin de reglas heursticasenlaseguridadquepuedeajustarse,tantoparalacreacindeestrategiasde seguridadydesarrollodealgoritmosheursticos,comoastambin,paralacomprensin deestosenaplicacionesyaexistentes.

-Pg. 5 de 35

Heurstica Antivirus - Sebastin Bortnik

Sinopuedesresolverunproblema,entonceshayuna maneramssencilladeresolverlo:encuntrala. GeorgePlya

Sitomasunaconclusinheursticacomounacerteza,podrsequivocartey sentirteengaado;perosirechazastotalmentelasconclusionesheursticas,no harsningnprogreso. GeorgePlya

-Pg. 6 de 35

Heurstica Antivirus - Sebastin Bortnik

QUESHEURSTICA
La definicin del trmino heurstica es una tarea compleja, si se tiene en cuenta las diferentesformasdeexpresarloqueexisten,segnelcontextoenelqueseladelimite.Sin embargo,todaslasdefinicionessonvlidasyrefierenaunmismoconcepto.Explorando desde sus orgenes, se concluir en una definicin base para la lectura del presente trabajo. Laetimologadelapalabra,provienedelgriego heursko,esdecir, encontrar,locual ofreceunaprimeraguaenlabsquedadeunadefinicincomn.Delamismapalabra griega proviene el famoso Eureka (lo encontr) mencionado por Arqumedes al encontrarlasolucinalproblemadecomprobarqueunacoronaerarealmentedeoro. ApesarqueeltrminoesutilizadodesdelaGreciaantigua,fuepopularizadoenelao 1 1945porelmatemticoGeorgePlya ensulibroHowtosolveit(Comoresolverlo), quetratasobremtodosparalaresolucindeproblemas,especialmenteenelreadela matemtica.Elautorhacemencinalanecesidaddeestudiarelconceptoyaquehasido 2 comnmente presentada a grandes rasgos, pero rara vez en detalle . En la obra, se presenta el trmino en funcin del descubrimiento matemtico y el autor diferencia la utilizacin del mismo como adjetivo o sustantivo; refirindose a algo que gua el descubrimientoenelprimercasoyaunadisciplinapropiamentedichaqueposeetcnicas queguaneldescubrimiento,siesutilizadaencambiocomosustantivo. Unatcnicaheursticanuncaesutilizadacomoresolucinfinalobsquedadelamejor solucin.Justamentenospermite,antecualquieradeestassituaciones,guiarelaccionar haciaunaposicinfavorableenposdelobjetivo. ComotambinmencionaPlyaensutexto,generalmenteestamosobligadosautilizarel razonamientoheurstico. ApartirdelamencindePlyayalolargodelosaos,elconceptodeheursticacomenz asermsfrecuenteendiferentesreasdeestudioynosoloenlasmatemticas,sino tambinenlalgica,lapsicologa,lafilosofaylacomputacin.Hoyenda,sepueden encontrar diferentes definiciones del mismo concepto, algunas de las cuales se mencionan,parapoderprecisarla. La Real Academia Espaola la define como tcnica de la indagacin y del 3 descubrimiento. Otras posibles formas de definirla son: reglas del sentido comn deducidasdelaexperiencia,procesodeganarconocimientoounresultadodeseadopor conjeturasinteligentes,o,deformamssencilla,elproblemaderesolverproblemas.

1 2

http://es.wikipedia.org/wiki/George_P%C3%B3lya HeuristicwasthenameofcertainBranchofstudy[...]oftenoutlined,seldompresentedindetail.Pg. http://buscon.rae.es/draeI/SrvltGUIBusUsual?LEMA=heur%C3%ADstico&origen=RAE

112.Polya,GeorgeHowToSolveIt:ANewAspectofMathematicalMethod
3

-Pg. 7 de 35

Heurstica Antivirus - Sebastin Bortnik

Enfuncindelasvariadasdefinicionesledasyelcontextoenelqueseaplicarenel presente, se define a la heurstica como una tcnica que, a travs de conjeturas inteligentesbasadasenlaexperiencia,encuentraestrategiasyreglasqueguanel descubrimientohacialatomadedecisionesobsquedaderespuestas. Comosepuedeapreciar,ladefinicinelegidaesabarcativaysermstilparalalectura delpresente.Sinembargo,comoyasemencion,sepuedenutilizardiferentestrminos paraunapropiadefinicinsegnelcontextoenelqueseencuentre. Lacapacidadheursticaesunrasgocaractersticodeloshumanos.Paraaplicarheurstica, siempresedebetenerunproblemaqueresolver,unarespuestaqueencontrar,algopor descubrir.Constantementelaspersonasaplicanreglasheursticasparaguiarsuaccionar enlavidadiaria. Ejemplo Setienen100nmerosdetelfonodetodoelmundoysedebeencontrareldeHarald Mllersinconoceranadie.Sepodraempezarllamandounoaunoatodoslostelfonosy seencontraraalindividuoencuestin.Peroestoconsumiramuchotiempoyseramuy costoso.UnasolucinheursticaseracomenzarporlosnmerosquefuerandeAlemania 4 yelprocesosehabraoptimizadobastante . Deformasimilar,unencargadodeRecursosHumanosfiltraunaseriedeCurrculospara una seleccin de personal (ya que son muchos los candidatos), comenzando por las personasqueprovengandeciertauniversidadqueeselegidasegnlapropiaexperiencia, lareputacindelafacultadyotrasposiblesvariablesaconsiderar. Ejemplo Jos desea ir desde su casa (o un origen cualquiera) hacia un estadio de ftbol para entretenerse(destino)ydeseallegarlomsrpidoposible. Dentrodelassolucionesideales(ycasificticias),Jospodraestudiarlafrecuenciadelos semforos,buscarimgenessatelitalessobreelestadodeltrnsito,conocerelestadode lascalles,informarsesobreloscortes,yotrastantasyasobtenerlarutaquemsrpido loharllegaradestino.Vistoyconsiderandoladificultaddelopropuesto,Jostomar decisionesbasndoseenunconocimientoprevioy,porejemplo,tomarelcaminoque menossemforostenga. Sehaaplicadoaquheurstica,peroselograrasrealizarelcaminomsrpido?Es probable,peronoseguro,yaquepuedenaparecerotrasvariablesnotenidasencuenta como un embotellamiento, un corte, etc. La heurstica funciona efectivamente en la mayoradelascircunstanciaspero,sinembargo,puedeconduciraerroresenlatomade decisiones. Delamismaforma,enelprimerejemplo,HaraldMllerpodranovivirenAlemaniayel encargadodeRecursosHumanospodraperdersedeungranprofesionalqueprovenga deotrauniversidadquelaelegida.
4

Extradodehttp://foro.msgpluslive.es/showthread.php?tid=3689

-Pg. 8 de 35

Heurstica Antivirus - Sebastin Bortnik

Esdecir,alaplicarheurstica,sesacrificandemandasdecompletitud;enposdeobtener unasolucinptimaenuntiemporazonable. Nosedebeconfundirlaaplicacindeunadecisinheursticaconelazar,laintuicino aspectos por el estilo. No siempre que se solucione un problema en forma rpida se aplicanreglasheursticas.Lohago,sibasomisdecisionesenlaexperienciayencierto aspectoinductivoalrespecto. Volviendoalprimerejemplo,unapersonaenesasituacinpodratenerunacorazonadade queHaraldMllerviveenBrasilyhastainclusopodraserciertoperonoporelloseha aplicadounrazonamientoheurstico. Diferenciarunaresolucindeunproblemaenformacompletayenformaheursticaesvital paralaobtencinderesultadosysuvaloracin.AsloexplicitatambinensulibroGeorge Plya:Laheursticaesbuenaensmisma.Loqueesmaloesmezclarelrazonamiento heurstico con pruebas rigurosas y, lo que es peor, vender el razonamiento heurstico 5 comounapruebarigurosa .

LahistoriadeEureka HernII,reydeSiracusa,pidiundaasuparienteArqumedes(aprox.287a.C.aprox. 212 a.C.), que comprobara si una corona que haba encargado a un orfebre local era realmentedeoropuro.Elreylepiditambindeformaexpresaquenodaaselacorona. Arqumedesdiovueltasyvueltasalproblemasinsabercomoatacarlo,hastaqueunda,al meterseenlabaeraparadarseunbao,seleocurrilasolucin.Pensqueelaguaque se desbordaba tena que ser igual al volumen de su cuerpo que estaba sumergido. Si medaelaguaquerebosabaalmeterlacorona,conoceraelvolumendelamismaya continuacinpodracompararloconelvolumendeunobjetodeorodelmismopesoquela corona.Silosvolmenesnofueseniguales,seraunapruebadequelacoronanoerade oropuro. Aconsecuenciadelaexcitacinqueleprodujosudescubrimiento,Arqumedessalidel baoyfuecorriendodesnudocomoestabahaciaelpalaciogritando:"Loencontr!Lo encontr!". Lapalabragriega"Eureka!"utilizadaporArqumedes,haquedadodesdeentoncescomo unaexpresinqueindicalarealizacindeundescubrimiento. Alllevaralaprcticalodescubierto,secomprobquelacoronatenaunvolumenmayor

Heuristicreasoningisgoodinitself.Whatisbadistomiupheuristicreasoningwithrigorousproof.What isworseestosellheuristicreasoningforrigorousproof.Pg.113.Polya,GeorgeHowToSolveIt:A NewAspectofMathematicalMethod

-Pg. 9 de 35

Heurstica Antivirus - Sebastin Bortnik

HEURISTICAEINFORMTICA
Unalgoritmoesunconjuntofinitodeinstruccionesopasosquesirvenparaejecutaruna tarea o resolver un problema. Consta de una secuencia de pasos lgicos que permite cumplirunobjetivouobtenerunasolucin. Eninformticaseutilizanconstantementealgoritmosparadiversasfuncionesyobjetivos, aplicndolosacualquiertareadeprogramacin.Aldesarrollarsoftware,sedebencrear algoritmosquesatisfaganlasnecesidadesdelprogramaencuestin. Unproblemadeoptimizacinescualquierquenecesiteencontrar,nosolounasolucin aceptable, sino la mejor. Cualquiera de estos problemas, puede presentarse como un conjuntodeestadosconfuncionesquepermitenpasardeunoaotro;teniendounestado inicialyunestadoobjetivo.Deestaforma,sepuedesimplificardiciendoqueunalgoritmo esunprocesodebsquedadesdeunproblema(estadoinicial)haciaunasolucin(estado objetivo). Sisepiensaenestostrminos,sepuedenclasificarlasbsquedasegnsisonciegaso no;esdecir,sievalan yrecorrentodoelrbol deposibilidades ono.Lasbsquedas heursticas,nopertenecenalasbsquedasaciegas,sinotodolocontrario:seaplicanante laimposibilidaddeemplearunabsquedaqueevaletodaslasposibilidadesyobtengael mejor resultado. Estosedebe siempre aun problema de recursos (seatiempo, costo, memoria,etc.). Alaplicarlasreglasheursticas,sepuedendardosposibilidades: Queelrazonamientopermitaacotarlabsquedayencuentreelresultadoeneste nuevosubconjuntodeestados. Que el razonamiento permita orientar una sucesin dentro de todo el conjunto, parandoenelprimerestadoobjetivoposible.

En cualquiera de los dos casos, la aplicacin de una tcnica heurstica no garantiza encontrarelmejorresultado,sinounoaceptable,teniendoencuentalaoptimizacindela bsqueda. Laespecificacindequesaceptabledependedecadacasoenparticularyespropiode anlisisparaeldesarrollodecualquierfuncinheurstica. LaInteligenciaArtificial(IA)eslapartedelacomputacinqueseencargadelestudiodel comportamiento inteligente de las mquinas. Las metas a largo plazo de la IA son el desarrollodemquinas(oprogramas)quepuedanhacercosasquehacenloshumanos, inclusomejorqueestos. Como ya se mencion, la heurstica proviene del pensamiento humano, por ende, su aplicacinenlainformticaseencuadraenlaInteligenciaArtificialyesunaaplicacinde lamisma.

-Pg. 10 de 35

Heurstica Antivirus - Sebastin Bortnik

Enresumen,lastcnicasheursticassonutilizadasparaagilizarlosprocesosdebsqueda deunasolucinatravsdelosalgoritmosdeprogramacin.

Ejemplo Enuna habitacin hay n elementos, cada uno conun valor vi y un peso pi. Setiene adems, unamochilaconunpeso P. Elobjetivoesllenar lamochilaconelmayor valorposible,eligiendoloselementosconvenientes.Situviramos1,2,3o4elementos sera fcil probar todas las alternativas y elegir la de mayor valor. Sin embargo, la 6 explosincombinatoria hacedifcildeevaluartodaslasposiblessolucionesalsermayor el nmero de elementos. Si tuviramos solamente 10 elementos, seran millones las combinacionesposiblesaevaluar.Unatcnicaheursticaquepodramosaplicaresladeir agregando a la mochila, el elemento que aporte mayor valor en proporcin a su peso (vi/pi),deestaforma,sesuponeopresume,encontraremosunasolucin,queaunque ptima, seguramente no la mejor. En trminos matemticos podramos decir que no encontraremos el mximo absoluto de la funcin aunque s, probablemente nos acercaremosal.Dehecho,esnecesarioaplicaralgunaheursticaparaencontraruna solucinenuntiemporazonable.Esdecir,laheursticaaumentalaeficienciadelproceso debsqueda,sacrificando,comoyahemosmencionado,demandasdecompletitud. Sepresentauncasoconnmerosparaejemplificarenformamsclara,comolatcnica heursticapuedenoguiarhacialamejorsolucin.Esteessolounejemploynosedebe concluirquelaheursticanoesefectiva;alcontrario,peroestilentenderelporqudesu utilizacinysuslimitaciones.Nuncaquepodamosencontrarlasolucinreal(enuntiempo prudenteoconlosrecursosprudentes)seaplicarunatcnicaheurstica. Dadoelproblemadelamochilayteniendolossiguientes3elementos,culeslamejor solucinsilamochilapuedesoportarhasta3000grs? Elemento 1 2 3 Peso 1800grs. 600grs. 1200grs. Valor $72 $36 $60

Siseaplicaralatcnicaheursticadesumaralamochilalosobjetosquemsvaloraporten enfuncinasupeso,lasolucinfinalsera$96conlosobjetos2y3(cuyovalorvi/pies de0.06y0.05respectivamentecontra0.04delprimerobjeto). Sin embargo, analizando todas las soluciones posibles (12, 13 y 23) y teniendo en cuentaqueelnmerodeobjetoseschicoyesfactiblehacerlo,seobservaquelamejor solucineraladecolocarenlamochilalosobjetos1y3,obteniendoasunvalorde$132.

Propiedaddelacombinatoriamatemtica(factorialdeN)endonde,alagregarunnuevoelemento,el nmerodecombinacionesposiblescrecemuchomsqueen1,deformaexponencial.
6

-Pg. 11 de 35

Heurstica Antivirus - Sebastin Bortnik

HEURSTICAYSEGURIDADINFORMTICA
LaSeguridadInformticaeslacaractersticadecualquiersistemaquenosindicaqueest libredetodopeligro,daooriesgoyquees,enciertamedida,fiable.Comolaseguridad absolutaesimposible,sehabladefiabilidad,esdecir,laprobabilidaddequeunsistemase comportecomoseesperadel. Todoprocesoquenospermitapreservarlainformacinylosobjetosdenuestrosistema pertenecealaseguridaddelainformacin. Unsistemaessegurooconfiablecuandosegarantizan3aspectos: Confidencialidad: Loselementosdeunsistemasernaccedidosnicamentepor elementosautorizadosaello. Integridad: Los elementos de un sistema solo pueden ser modificados por las personasautorizadas. Disponibilidad: Los objetos tienen que permanecer accesibles a los elementos autorizados. En el campo de la seguridad tambin se aplican tcnicas heursticas en diferentes aplicacionesdeproteccindelsistema. Retomando el concepto, la seguridad se encarga de proteger a la informacin de las diversas amenazas existentes en su contexto. Comparando con los humanos: cmo determina una persona que algo/alguien es una amenaza para l/ella? Cuando se disponedetodalainformacinessimple.Porejemplounapersonavaporlacalleyse cruza con otra que reconoce haber visto en el noticiero, donde se inform que es un asesinoserialprfugo. Obviamente sereconocer rpido elpeligro, yaquesetiene la certezaqueseestanteunaamenaza,peroestasituacineslamenoscomn. Enlamayoradeloscasos,utilizamosnuestrorazonamientobasadoenlaexperienciayla induccinparadeducir(nosuponeroadivinar!)quealgo/alguienesparanosotrosuna amenaza.Supongaqueunapersonavaporlacalleyseacercaaunperrocualquiera: Cruzarestapersonalacalledebidoaqueelanimallovaamorder?Seguramentese tomaresadecisinenfuncindelarazadelperroylaagresividadmediaasociadaala misma.Esdecir,aunquenosetienelacertezasiesonounaamenaza,ciertoparmetro (enestecasoeldeperteneceraunarazaqueescomnquemuerda)nosindicaquees muyprobablequeaslosea,yquemejorevitarlo. EnSeguridadInformticaocurrelomismo:muchasvecesalnosabersialoqueunose enfrentaesunaamenaza,sedebenaplicartcnicasheursticasparatomarunadecisinal respecto. La idea es muy simple: en la proteccin del sistema se pueden identificar amenazasconocidas(yregistradas)obienpuedenencontrarsesospechososysedebe evitarqueestos,apesardenotenerlacertezadequehayunpeligro,ingresenenel sistema.Ladecisindequessospechosoparanuestrosistema,lecorrespondea losalgoritmosheursticos.

-Pg. 12 de 35

Heurstica Antivirus - Sebastin Bortnik

HEURSTICAANTIVIRUS
Quesunvirus Un virus es un programa informtico, creado voluntariamente por alguna persona, que poseelassiguientescaractersticas: Tienelacapacidaddereproducirseasmismo. Producealgndaoenelordenadorinfectado. Actasinqueelusuariosedecuenta.

Cualquiervirusinformtico,ensudefinicinclsica,debeposeerlastrescaractersticas mencionadas.Puedenreplicarseporssolos(esdecir,suvidadependedeellosynode unusuarioqueloscreayloselimina),aligualqueconlosvirushumanosy,asimismo, multiplicarseatravsdediferentesordenadoresyarchivos.Eldaoqueproducenesmuy variable segn los diferentes casos; desde un simple mensaje que moleste al usuario hasta inhabilitar el acceso al sistema operativo son algunas de las variantes que se puedenencontrar.Porltimo,elvirusrealizatodassusaccionessinelconsentimientodel usuarioyesinvisibleaeste,salvoatravsdelosproblemasquelecausesuexistencia. Siseintentadeterminardealgunaforma,sugradodepeligrosidad,puededecirseque para un virus, su capacidad de propagarse es ms determinante que el dao que ocasiona. Existendiferentestiposdevirus,comolosvirusdesectordearranque,queinfectanel sectordebooteodenuestraPc;losvirusdeprogramasejecutablesolosvirusresidentes enmemoria,queestnlatentesmientrasutilizamosnuestroSistemaOperativoparaatacar oinfectarsegnelcaso. Brevehistoriadelsurgimientodelosvirus El concepto de virus siempre fue conocido por los seres humanos (de hecho en la informtica,sellamatambinvacunasalascurasdelosprogramas)y,loscomienzosde losvirusinformticos,lecorrespondenalaInteligenciaArtificialque,desdelasdcadas del40yel50intentabacrearprogramasautoreplicantesaunquesinfinesdainos. En al ao 1959 aparece el precursor del que sera el primer virus informtico y fue simplementeunjuegonombradoCoreWar.Elmismofuedesarrolladoenloslaboratorios de la Bell Computer por Robert Morris, Douglas Mcllroy y Victor Vysottsky. El juego consiste en el enfrentamiento entre 2 o ms programadores trabajando en cdigo 7 mquina conelobjetivodeocupartodalamemoriadelamquinadeloponente. En1972apareceelprimervirus,llamadoCreeper,creadoporRobertMorris.Elprograma emitaenformaregularunmensajeenpantallaconlainscripcin Imacreaper...catch meifyoucan!(soyunaenredadera,atrpamesipuedes).Paraeliminarelvirus,secre
7

http://es.wikipedia.org/wiki/Lenguaje_m%C3%A1quina

-Pg. 13 de 35

Heurstica Antivirus - Sebastin Bortnik

unejecutablellamadoReaperquesirvedereferenciacomoelcomienzodelosantivirusa pesardequeenesapocanoexistaelconceptodesoftwareantivirus . Enformasimplificada,losvirussepuedenenmarcaren3generaciones:laprimerahasta elao1995endondelosvirussetransmitanprcticamentepormediodediskettesysu propagacineralenta;unasegundageneracin,hastaelao2000,dondeseexpandan enunospocosmesesyunatercergeneracin,desdeelcomienzodelpresentemilenio, conformadaporlosactualesvirusderpidapropagacin(enhorasodas).Estaltima generacinselasuelellamartambinLosvirusdeInternet. Cmofuncionaunvirus Unvirusalejecutarsecomienzaarealizardosaccionesenparalelo:porunladoejecutaun daodeciertamagnitudenelsistemay,porelotro,continasupropagacin. Unviruspuedeentraranuestroordenadorporcualquiermediodealmacenamiento(un discorgido,undiskette,unpendrive,etc.),atravsdeunaredlocalobien,atravsde Internet (mail, paginas web, Chat, etc.) que es hoy en da el medio ms habitual de transmisindevirus.Esdecirquecualquiercontactoentrenuestrosistemayotroesuna posibleinfeccin. Enunprincipiolosvirusafectabansoloaarchivosejecutablescomo.EXE,.COMo.BAT perohoyendayapuedenafectaraarchivosdeimagen(.JPG)odemsica(.MP3)oa cualquiertipodearchivo(.SYS,.PDF,etc.). Unvirusfuncionasuplantandoelarchivoinfectadoporelquecontieneelcdigomalicioso ymodificandoelnombredelarchivooriginal.Cuandoelusuarioejecutaelarchivo,enun primertrminoseejecutanlospasosdelvirusy,luego,estellamaalarchivooriginal(el virusconocesunuevonombreyubicacin).Deestaforma,elvirusseejecutperoel usuarionoseenteradelaejecucindelvirusyaqueestviendoelarchivoquequera utilizar.
8

Msinfoenhttp://www.kriptopolis.org/elprimerantivirus

-Pg. 14 de 35

Heurstica Antivirus - Sebastin Bortnik

VirusoMalware? Elconceptodevirusensuformapura,comofuepresentadohastaelmomento,evolucion alolargodelosaosconelavancedelainformticay,conlapopularizacindeInternet, haencontradonuevasformasque,eventualmente,senombrantambincomovirus.Sin embargo, la mejor forma de englobar todo el software daino es Malware (del ingls malicious software; software malicioso). Se puede considerar como malware todo programa con algn fin daino. Dentro de este grupo se encuentran los virus en su concepcinclsicayotrasnuevasformasquefueronapareciendoenlosltimosaosy que,algunasdeellas,sedescribenbrevementeacontinuacin. Gusano:Adiferenciadelosvirus,noinfectanarchivos.Supropsitoesagotarlo

recursos del sistema y se reproducen a travs de diferentes medios de comunicacin.Nonecesitandeunarchivohuspedparaseguirvivos. 9 ElprimergusanoqueaparecifueelMorris enelao1988,quellegacolapsar 10 cientosdesistemaspertenecientesaArpaNet .

Troyano:SunombreprovienedelmitodelcaballodeTroya yaqueelobjetivoes el de engaar al usuario. Son archivos que simulan sernormales e indefensos comojuegosoalgntipodesoftwarequetientaalavictimaaejecutarlo;deesta formalograninstalarseenlossistemas. Spyware:Derivandelasaplicacionesbasadasenpublicidad(AdvertisedSoftware

11

Adware).Enestecasosonaplicacionesespas(SpySoftware),yaquenoson instaladas con el consentimiento del usuario y tienen como objetivo robar informacin de este y enviarla a travs de Internet, generalmente con fines publicitarios. Usualmente,sedenominavirusalainfeccindelacomputadora,apesardequeenla mayora de los casos nos encontramos ante un gusano o alguna de las variantes presentadas.Estambinprobablequealgncdigomaliciosopresentecaractersticasde msdeunadelasvariantesexpuestas. Existen ms variantes de virus maliciosos como backdoors, rootkits, exploits pero su 12 explicacinescapaelalcancedelpresente .Lastresvariantesmencionadassonlasms 13 usualesygeneralescuandosehabladeMalware .
9

Msinfosobrelosdaoscausadosygusanosenhttp://snowplow.org/tom/worm/worm.html.

10

PrecursoradeInternet,pertenecientealDepartamentodeDefensadelosEstadosUnidos. http://en.wikipedia.org/wiki/Arpanet
11 12

http://es.wikipedia.org/wiki/Caballo_de_Troyahttp://www.jornada.unam.mx/2005/04/27/029a1eco.php

http://es.wikipedia.org/wiki/Malware#Spyware
13

Paraconocermsvisitarhttp://en.wikipedia.org/wiki/Malwareo
Deaquenadelante,seutilizarnlaspalabrasVirusyMalwareindistintamenteparaidentificarcualquier

archivoconfinesmaliciososhacianuestroordenador.

-Pg. 15 de 35

Heurstica Antivirus - Sebastin Bortnik

Ejemplosdevirus Sepresentanalgunosvirusdelosmsfamososparaconocersusprincipalesefectos,sus variantesysusmediosdepropagacin. VirusMelissa

ElvirusMelissaaparecienelao1999yllegacolapsarcientosdeservidoresdecorreo alaspocashorasdesupropagacin. MelissaafectabadocumentosdeWord97yWord2000.Sielvirusseejecutaba,enviaba un correo electrnico a los primeros 50 contactos del Outlook Express con asunto Importantmessagefrom<nameofsender>dondenameofsendercorrespondealaPc infectadaqueenvaelcorreo. En el cuerpo del mensaje, solo estaba escrita la siguiente leyenda (traducida al pie al espaol): Hereisthatdocumentyouaskedfor...don'tshowanyoneelse;)TCizzle Aquesteldocumentoquepediste...noselomuestresanadie;)TCizzle El correo contena un adjunto de Word (LIST.DOC) que contena una lista de sitios pornogrficosylospasswordsparaaccederaellos. Elvirusadems,poseadaossecundariosalmodificarlosarchivosqueeranabiertosen elmomentoenquelosminutosdelhorariocoincidieranconelda(ej.18:30un30de Marzo);yagregabalneasdetextoalarchivosinelconsentimientodelusuario. ElvirusMelissaesconsideradodelosprimerosmalwarecondaossignificativosalpoco tiempodelapropagacin.Tuvoadems,diferentesvariantesqueaadanomodificaban pequeosaspectosrespectoaloriginal. Elcdigodelviruspuedeobservarseen 14 http://www.62nds.co.nz/62nds/documents/melissa.txt. Win32/Sober

FueungusanodeInternetqueaparecienelao2003peroquesusvariantesllegarona afectarmasivamentehastael2005;dehecho,fueelgusanodemspropagacinenaquel ao.Alcanznivelesdereproduccinaltsimosenunasmuypocashoras. Sepropagabaenformamasivaatravsdelcorreoelectrnicoytantoelasunto,eltexto delmensajeyeladjuntoeranvariablesensuidiomayextensionesrespectivamente.

14

Posiblementeelantivirusdetectalapginacomoamenazaperoelcdigoestentextoplanoporloque

esinofensivo.

-Pg. 16 de 35

Heurstica Antivirus - Sebastin Bortnik

ILoveYou

EsungusanotroyanoquesepropagabaatravsdeIRC(mensajerainstantnea)yel correoelectrnico.Alejecutarelarchivo,laPcseinfectabaysesucedanlassiguientes acciones: 1) Sereenvaatodaslasdireccionesdelalibretadecorreo. 2) Sedescargaunarchivoparaelrobodeinformacin. 3) Seeliminandistintostiposdearchivos. Elcdigodelviruspuedeobservarseen 15 http://www.62nds.co.nz/62nds/documents/iloveyou.txt. Antivirus Losantivirussonprogramasencargadosdedetectaryeliminarataquesinformticosde virus que quieran, o hayan accedido a nuestra Pc. Actualmente, los software no solo detectanvirus,sinootrostiposdeataquesdeMalware,comolosqueyasemencionaron enlaseccinanterior. Elsoftwaredetectaelarchivo,loeliminaydesinfectaelsistema.Muchasveceslastres accionesnosonposiblesypuedequesolosedetecteelarchivoyseloeliminey,enel peordeloscasos,puedequesolosedetecteelarchivo.Estodependerdelvirusalque seestenfrentando. Losantivirustienenunaseriedemdulosdeproteccinencargadosdeanalizardiferentes tipos de archivos y trfico en nuestro ordenador. Entre estos, los que se encuentran usualmenteson: Anlisisdearchivos:seencargadeverificarlosarchivosquesevanutilizandoen la Pc (abrir, guardar, copiar, etc.). En caso de encontrar Malware, informa automticamentealusuario. Anlisis de archivos por demanda: a pedido del usuario, escanea todos los archivosdelaPc(odeunsectorindicado)enbuscadeMalwarerealizandoun informefinaldearchivosinfectadosencontrados. AnlisisdeltrficodeInternet:verificalaspginasquesonvisitadasylosarchivos queestascontienen.Encasodeencontrarmalware,avisaalusuarioycancelael accesoalapginaweb. Anlisisdelcorreoelectrnico:analizaelcorreoentranteysalientedenuestraPc, eliminandoadjuntosocorreosinfectadosporMalware.

Estossonlosmdulosprincipalesdecualquiermotorantivirus.Conellos,semonitorea prcticamentetodoeltrficodelaPc,enbuscadeMalware,tantoentiemporealmientras
15

Posiblementeelantivirusdetectalapginacomoamenazaperoelcdigoestentextoplanoporloque

esinofensivo.

-Pg. 17 de 35

Heurstica Antivirus - Sebastin Bortnik

elusuariotrabajacomopordemanda,cuandoseutilizanlasherramientasdeScannerque poseeelsoftware. Desdesusorgenes,losantiviruscuentanconunmtododedeteccinbasadoenfirmas. Esteconsisteenunabasededatosgeneradaporelfabricantequelepermitedeterminar alsoftwaresiunarchivoesonounvirus.Elsistemaessimple:secomparacadaarchivo con la base de datos y, si hay coincidencia, se utiliza la firma para la deteccin y desinfeccin(siestaexiste)delarchivoylaPc.Elprocesoparaestarprotegidosporesta metodologaeselsiguiente: a) b) c) d) Apareceunnuevovirus Serecibelamuestraenlaempresaantivirus Secrealavacuna(llamadafirma)paraelnuevovirus Lacomputadoradescargalafirmaycomienzaadetectarelnuevovirus

Aestemtodosedebelaimportanciadeteneractualizadonuestroantivirus:silafirmaya hasidocreadaporelfabricante,peronolahemosdescargadoennuestroordenador,no estamosprotegidosparaesaamenazaenparticular. Ademsdeesta,estemtodoposeedosprincipalesdesventajas: Elsistemanopuededetectarvirusquenoseencuentranenlabasededatosdel fabricante. Elsistemadebeposeerunafirmaporcadavariantedeunmismovirus.

Debidoalaaltavelocidaddepropagacin(yaparicin)denuevosvirusinformticos,el mtododedeteccinbasadoenfirmassevolvilentoeinsuficiente.ViruscomoelMelissa (antesmencionado)generaronmilesdehostinfectadosalaspocashorasdeserlanzado. 16 ElvirusBagleinfectocasiveintemilordenadoresen4horas ytuvodecenasdevariantes desdesulanzamiento. Elprocesodecreacindefirmaspuedellevarhoras.Segnlasestadsticas,recinapartir delas34horasaparecernlassolucionesenlasprimerasempresasymuchasvecesse debe esperar hasta 20 horas para tener la actualizacin disponible. Por otro lado, la cantidaddevirusnuevosqueaparecendaadaescrecienteyestohacemscomplejala tareadeloslaboratoriosantivirus.Yaen2003,loslaboratoriosantivirusrecibanmsde diezvirusnuevosporda.Hoyesenmero,llegaaserdosotresvecesmayor. La pregunta que surge entonces es: hay probabilidades que en las horas hasta que aparezcalafirmayseactualiceelantivirus,laPcseinfecte?Obviamentelarespuestaes s.Cadavez ms ordenadores estn conectados fulltime aInternet ysenavega yse descarganemailsconstantemente.

16

Lahistoriasinfin:VirusBaglePg.10 http://www.esetla.com/press/informe/historia_sin_fin_virus_bagle.pdf

-Pg. 18 de 35

Heurstica Antivirus - Sebastin Bortnik

Los virus se reproducen muchas veces como una epidemia y las probabilidades de infectarseantesdedescargarlafirmasonmuyaltas.Esaqudondesurgelanecesidadde encontrar un mtodo que complemente la deteccin por firmas. Como antes se mencionaba,alnoexistirlaposibilidadidealdequelascomputadorestengansiemprela 17 firma contra los virus in the wild , se debe aplicar alguna tcnica que nos permita determinarqueesprobablequeunarchivoseaunaamenaza.Heaququelossoftware antivirus aplican heurstica para detectar (sospecharconcluir) que un archivo es una amenazaanuestrosistema,apesardenofigurarenlabasedefirmas. De esta forma, se complementan los mtodos reactivos, que necesitan conocer la amenaza para brindar la solucin, con nuevos mtodos proactivos de deteccin de amenazas. Heursticaantivirus La bsqueda heurstica es un complemento de la deteccin basada en firmas. El funcionamiento es similar al que se desprende del comportamiento humano en la 18 deteccindeamenazas :alencontrarciertosparmetrosquesecorrespondenconlas amenazasyaconocidas,sesuponequeciertoelementoesunaamenaza.Losmotores antivirus utilizan comportamientos heursticos para poder detectar amenazas, aunque stasnoseencuentrenidentificadasenunabasedefirmas. Laheursticasecomponedeunaseriedealgoritmosinteligentesquepermitendetectar virus nuevos y desconocidos. Es importante recordar que la bsqueda heurstica no depende de la actualizacin del software, siempre est disponible con el antivirus en funcionamiento. Entre algunos de los comportamientos comunes en los cdigos maliciosos, se pueden nombrar: envo masivo de emails, modificacin del registro del Sistema Operativo, modificacin de archivos protegidos contra escritura o archivos del Sistema Operativo, detencin de procesos en ejecucin o archivos que comiencen con un salto a una instruccinsobreelfinaldelcdigo,entreotros. Observandociertostestindependientes sedesprendequehoyenda,pocasheursticas, en lneas generales, obtienen altos rendimientos (difcilmente superen el 80%) aunque algunasempresashanaventajadoalresto.Algunasdeellas,alcanzanadetectarel70% de los virus sin utilizar la deteccin con firmas. Sin embargo, ms de la mitad de las empresas no detectan siquiera un 35% de los virus utilizando solo las funciones de bsquedaheurstica.
17

19

Listadodeloscdigosmaliciososparacomputadoresqueanseencuentranactivosparaatacar.Este esmantenidoporTheWildListOrganizationInternationalysepuedeconsultarenlaweb http://www.wildlist.org/.

18 19

VerseccinHeursticaySeguridad http://www.avcomparatives.org/index.html?http://www.avcomparatives.org/seiten/comparatives.html

-Pg. 19 de 35

Heurstica Antivirus - Sebastin Bortnik

Caberesaltarque,detodasformas,lastcnicasheursticashanevolucionadoyresultan altamente efectivas en virus imitadores, es decir, aquellos que solo tienen leves modificacionessobreunvirusoriginalqueyaestcargadoennuestrabasedefirmas.De 20 hecho,enlosvirusqueposeenaltacantidaddevariantes ,sehaceimposibleparalas empresasanalizarlastodasyrealizarunafirmaparacadauna. Enresumen,lastcnicasheursticassonlanicaproteccindelaquedisponemosfrente alaaparicindeunanuevaamenazaquenoposeaanlafirma. Enelanlisisheursticoseexaminaelcdigodeunarchivobasndoseenreglaspara saber si lo que hace es normal o no. Bsicamente, funciona buscando comandos sospechosos.Hayciertoscomandosquesonmuyutilizadosporlosautoresdevirusy quesuelenaparecerfrecuentemente.Sienunarchivodesconocidoseencuentranvarios deestoscomandos,sepuedecatalogaraestedesospechosooposiblevirus.Deuna formasimplificada,seintentadeducirquharaelprogramasiseejecutaraysebuscan patroneshabitualesempleadosporcdigosmaliciosos. Existen variadas tcnicas para la implementacin de algoritmos heursticos en motores antivirus.Esimportantedestacarquetcnicaheursticaesunadescripcingeneraldeuna forma de detectar amenazas que puede tener rendimientos muy variables segn la implementacinparticularquehagacadaempresa.Unamalaimplementacin,nosignifica queconceptualmente,lastcnicasgenricasdedeteccindeamenazassonunasolucin excelenteparacomplementarlasbsquedasreactivasybrindarunasolucinintegralante elmalware. Aspectosnegativosdelaheurstica La aplicacin de las tcnicas heursticas conlleva ciertas desventajas propias de la naturalezadesuimplementacin.Unabsquedaheurstica: consumemsrecursos(fundamentalmentetiempo)queunabsquedaclsica. puedenaparecerfalsospositivos.Seproduceunfalsopositivocuandoelsoftware antivirusdetectacomoamenazaunarchivoqueenrealidadnoloes.

Es imposible eliminar totalmente ambos efectos, aunque es deseable minimizarlos lo mximoposible.Siempreunabsquedaheursticademorarmsqueunsimpleescaneo basadoenfirmasyesimposibleafirmarquenoexistirnfalsospositivos.Unfalsopositivo puedegenerarlealusuariomsproblemasqueunsimplevirus. Otralimitacinqueexistean,esqueunaamenazaencontradaatravsdeunabsqueda heurstica,nopodrserreparadasinosimplementeeliminadaopuestaencuarentena,a

20

Otroejemplo,ademsdelosyamencionados,elvirusStrationquetuvocientosdevariantes.

http://www.rompecadenas.com.ar/articulos/1452.php

-Pg. 20 de 35

Heurstica Antivirus - Sebastin Bortnik

diferenciadelasfirmasquebrindanproteccincompletaalsistemaydesinfeccintotaldel virus. Cuando un antivirus identifica un archivo infectado a travs de la base de firmas, se informaalusuariotodas lascaractersticasconocidas yalmacenadasenlabase,entre ellas el nombre. En cambio, al identificarse una amenaza a travs de una tcnica heurstica, la informacin que se brinda al usuario es ms genrica indicando que el archivopuedeprovocaralgndaoalsistema.Alidentificarelvirusdetectado,elmensaje 21 ser, por ejemplo Probablemente desconocido NewHeur_PE(Virus) segn NOD32; Suspicious(sospechoso)oPossibleThreat(posibleamenaza)enelcasodeFortinet;o HEUR/CryptedyHEUR/MalwareentreotrosparaAntiVirdeAvira. TcnicasHeursticas
22

Existen diferentes tcnicas para realizar implementaciones y algoritmos especficos de bsquedasheursticasenmotoresantivirus.Cualquieradeellasrespondealaideabsica antesexplicada:identificarpatronesconocidosdemalwareenarchivosquenofiguranen labasedefirmasyclasificarloscomounaposibleamenaza.Algunasdeellasson: FirmasGenricas:Permitelaidentificacindetodaunafamiliadevirus(eloriginal ysusvariantes)atravsdeunanicavacunagenrica. Reconocimientodecdigocompilado:Analizalasinstruccionesqueseledarnal sistemaybuscaaquellascomunesensoftwaremalicioso. Desensamblado: Analiza el cdigo fuente y busca tcnicas de desarrollo comnmenteencontradasencdigosmaliciosos. Desempaquetamiento:Escomnlautilizacindeempaquetadoresparamodificar la apariencia de los virus. Esta tcnica consiste en desempaquetarlo para as poderanalizarelcdigofuente.

Cmoseevalaunatcnicaheurstica Paratestearelrendimientodelosalgoritmosheursticosencualquierantivirus,serealizan lasllamadasEvaluacionesretrospectivas. Estas consisten en detener las actualizaciones para el software durante un periodo determinado de tiempo y, luego de ello, someter al antivirus al anlisis de cdigos maliciososnuevosrecolectadosenesemismoperiodosintenerlosensubasedefirmas. Deestaforma,soloatravsdesuheursticaelantiviruspodrreconocerlasamenazas. El resultado de este test es un porcentaje de deteccin que, como antes nombramos, todavaenpromedionoseencuentraenvaloresmuyaltos.

21

PertenecientealantivirusNOD32.Msinfoenhttp://blogs.esetla.com/laboratorio/2007/07/28/alguem mandoucartaovirtual/

22

ExtradodeAsfuncionaunaheursticaantivirus.deSergioHernandoen

http://www.sahw.com/wp/archivos/2006/07/03/asifuncionaunaheuristicaantivirusprimeraparte/ http://es.wikipedia.org/wiki/Heur%C3%ADstica_en_antivirus

-Pg. 21 de 35

Heurstica Antivirus - Sebastin Bortnik

Muchas veces este es el nico valor que se considera para evaluar los algoritmos heursticos.Sinembargo,estilconsiderarotrasvariablesdeltestademsdelporcentaje de deteccin. Estas, refieren a los ya nombrados efectos colaterales negativos de la heurstica:falsospositivosybajorendimientodelosrecursos. Como ejemplo, tomaremos la ltima evaluacin retrospectiva realizada por el sitio web 23 24 independienteavcomparative.org ,confechaenMayode2007 . Elinformeposeelastresseccionesyaexplicadasysepresentaacontinuacinlosgrfico resumenencadacaractersticaevaluada: Porcentajededeteccindenuevoscdigosmaliciosossinbasedefirmas

FalsosPositivos

Setomacomoreferenciaporserelltimorealizado(Agostode2007).Otrossitioswebrecomendables querealizantestindependientessonVirusBulletin(http://www.virusbtn.com)eHispasec (http://www.hispasec.com/) 24 http://www.avcomparatives.org/seiten/ergebnisse/report14.pdf

23

-Pg. 22 de 35

Heurstica Antivirus - Sebastin Bortnik

Rendimientodelescaner

25

Msalldelresultadopuntualdeestaevaluacin,esimportanteevaluarlostresaspectos paraconocerrealmenteelrendimientoheursticodeunproducto. Unaheursticamuyparanoicadetectarmuchosvirusperotambintendrunaltogrado 26 defalsospositivos . Unaheursticamuylivianatendrmuypocosfalsospositivosperounbajoporcentajeenla deteccindecdigosmaliciosos. Unaheursticamuycomplejapodrtenervaloresaceptablesenlasprimerasdosvariables perodisminuirenformanotableelrendimientodenuestrosistema. Ningunodelostrescasosesloquesepretende.Aldesarrollaralgoritmosheursticosse buscaelequilibrioentrelastresvariables:altogradodedeteccin,bajogradodefalsos positivosybuenrendimiento. Quedaallectorconocerotrasevaluacionesyhacerunseguimientodeestasalolargode losmesesparairevaluandoasucriteriolosdiferentesantivirus.Adems,lasevaluaciones retrospectivascomolaaqupresentada,evalansololaheursticadeunproducto.Una evaluacin como esta, debe ser acompaada de otra que evale el rendimiento del productoatravsdelasbasesdefirmas.
25 26

ElmismoestmedidoenMB/sec.Amsvalor,mayorrendimiento. VerNoticiaHeursticasprimitivas(antivirus).http://blog.hispasec.com/laboratorio/189

-Pg. 23 de 35

Heurstica Antivirus - Sebastin Bortnik

Laheursticareemplazaralaexploracinporfirmas? Como ya se ha explicado, con las nuevas caractersticas de los virus, las tcnicas heursticas sonun complemento indispensable para ladeteccin basada en firmas. No obstante,laslimitacionesdelaheursticahacenimposibleescindirdelasbasesdefirmas; enunprimertrminoporlosndicesdedetecciny,ensegundolugar,porlaincapacidad paradesinfectarelordenadordeunvirusespecfico. En el campo de la Inteligencia Artificial es muy difcil hacer afirmaciones ya que los avances son cada vez ms importantes. Decir que la heurstica no alcanzar tcnicas genricasdedesinfeccinseraaventurardemasiado. Peroenelcortoymedianoplazo,lastcnicasheursticasseguirnconviviendoconlas tcnicas clsicas en los motores antivirus. Aunque cada vez ms importantes, por el momentonospermitenestarcubiertosyposeerunadeteccinproactivaantesdequese generelavacunacontraalgunaamenaza. La actualizacin de los antivirus y la utilizacin de firmas siguen siendo cuestiones prioritariasparaelusuariosisedeseatenerunaproteccincompletafrentealosvirus informticos.

-Pg. 24 de 35

Heurstica Antivirus - Sebastin Bortnik

OTRASAPLICACIONESENSEGURIDADINFORMTICA
Elmismoconceptoaplicadoenlossoftwareantivirus,sefueaplicandoenotrosaplicativos delaSeguridadInformtica.Muchosdeellosyafuncionabancontcnicasreactivasy,en los ltimos aos, comenzaron a complementarse con nuevas tcnicas genricas de deteccindeamenazasparabrindarunasolucinintegral. Acontinuacin,sepresentanalgunasaplicacionesyunabreveexplicacindecmohan empezadoaimplementarelconceptodeheurstica,solopresentadoenformagenrica parapodercompararloconlautilizacinquedanaestastcnicaslosantivirus. AntiSpam Spamesunmensajenosolicitadoporeldestinatarioqueseenvaenformamasiva.El objetivodelmismoesofreceralgntipodeproductooservicio. Apesardequeelmediomscomn,yelqueseexplicaracontinuacin,eselcorreo electrnico,existenotrosmediosdondeestnapareciendomensajesnodeseadoscomo foros,blogsocelularesporcitaralgunos.Actualmente,msdel50%delcorreorecibidoen unacuenta,esSpam. Unantispamesunprogramaqueseencargadeidentificaraquelloscorreosnodeseadosy diferenciarlosdelcorreoordinario.ElfuncionamientobsicodelSpameslautilizacinde blacklists (listas negras), que son listas de direcciones de correo o direcciones IP que estncatalogadascomoSpammers.Deestaforma,elantispampuedefiltrarloscorreos 27 queprovengandedireccionesquefigurenenlalistanegraqueutilice .Lasimilitudentre estatcnicaylabasedefirmasenlosantivirusesclara:unatcnicareactivaquerequiere conocerlaamenaza(enestecasosudireccin)antesdepoderatacarla. Laimplementacindealgoritmosdedeteccinproactivaparaprevenirelspamconsisteen unaseriedereglasparaidentificar,analizandoelcontenidodeuncorreoelectrnico,si esteesunspam.Seanalizanlosremitentes(siestnfalseadosono),elasuntodelcorreo, laspalabras,ciertasfrasescomunes,lapuntuacin,etc. Segnlasimlitudconlosmensajesnodeseadosyaconocidossecatalogaonoalcorreo comosospechoso. Aligual que conlos virus,lastcnicasheursticasenelspamposeenfalsospositivos. Cualquierlectorhabrencontradoalgunavezensucorreonodeseadoalgnmailqueno eraSpam. FireWall Esunelementodehardwareosoftwarequecontrolaeltrficoentredosredesdiferentes. Aligualqueconelspam,losfirewallposeendesdesusorgenescomportamientosms estticos:bloqueodepuertos,bloqueodeciertostiposdepaquetes,etc.

Existenvariaslistasnegras.Diferentessolucionesutilizanalgunasdeellas.Algunasdireccionesweb son:http://dsbl.org/listinghttp://www.au.sorbs.net/lookup.shtmlhttp://spamcop.net/bl.shtml
27

-Pg. 25 de 35

Heurstica Antivirus - Sebastin Bortnik

Las nuevas funcionalidades heursticas para los firewall consisten en algoritmos inteligentesqueanalizanelpaqueteeintentadeterminarququiereovaahacerdicho paquete.Estetipodealgoritmossonmscomplejosyaqueexistenunaampliavariedad depaquetesdiferentesquepuedenquereratravesarlared. FiltrosdeInternet LosfiltrosdeInternetsonaplicacionesquepermitencontrolarelusosegurodeInternet prohibiendoelingresoasitioswebdesexo,violencia,prostitucin,ventailegal,entreotros. Estosprogramasestndiseadosfundamentalmenteparacontrolarelusodelosmenores eInternet. Elfuncionamientosedividedeigualformaquelosantispam,endosprotecciones: La reactiva que tiene una lista de sitios web que se actualiza constantemente, clasificados de forma tal que el usuario puede filtrar segn la categora y prohibir/permitirelaccesoalaweb. Laproactivaqueanalizaelcontenidodelapginawebybuscapalabrasasociadas a las diferentes categoras elegidas. De esta forma se define un umbral para permitir/denegarelingresoalsitioque,muchasveces,esconfigurable.Deesta forma, se puede decidir restringir un sitio al encontrar 5/10/15 veces palabras asociadas.Lalistadepalabrastambinposeeactualizaciones.

Los falsos positivos aqu tambin son simples de graficar. El ingreso a un sitio sobre psicoanlisispuedeserprohibidosiseposeeunapolticamuyexigenteyseencuentran muchaspalabrasrelacionadasconelsexo. EducacinenSeguridad Con el pasar de los aos, cada vez son ms las amenazas que aprovechan una vulnerabilidad del sistema que no est protegida por ninguno de los software antes mencionados:laignoranciadelusuario. Esporelloqueesindispensablelaeducacinhacialaseguridad.Muchasamenazascomo 28 29 elphishing ,enmarcadasenlaIngenieraSocial ,aprovechanlaignoranciadelusuario paraejecutarelataqueconsuinconcientecolaboracin. Obviamente un usuario no puede poseer una lista de qu es una amenaza y qu no. Aunqueparezcaexagerado,todoloreferenteaeducacinenSeguridadpretendequelas personas utilicen sus capacidades de razonamiento heurstico para protegerse a s mismos.Obviamentenoesimportantequeelusuariolodimensioneenestostrminopero sbrindarles los conocimientos para poder identificar una posible amenaza ytomar los resguardossuficientesparaprotegersedeello.

28
29

Msinfo:http://es.wikipedia.org/wiki/Phishing Msinfo:http://www.esetla.com/pub/mvis.pdf

-Pg. 26 de 35

Heurstica Antivirus - Sebastin Bortnik

CONCLUSIN
Hace un tiempo, se hablaba de la necesidad de implementar tcnicas de deteccin genricasenlossoftwareantivirus.Hoy,convariosaosdeexperienciaaparecen,ami criterio,dosdesafosimportantesenelcampodelaSeguridadInformtica: Modificarlaestructuradelosantivirus priorizandocadavezmslasbsquedas heursticasy,principalmente,optimizarlosalgoritmosdeestasparaobteneraltos rendimientosymejoresresultadosenlaprevencindemalware. Implementar laprevencin proactivaatravsdealgoritmos heursticos en otras aplicacionesdelaSeguridadInformtica.

Los avances informticos y la popularizacin de Internet, han sido ms rpidamente aprovechadosporloscreadoresdemalwarequeporlasempresasantivirus.Losmtodos reactivosatravsdefirmas,efectivosdurantemuchotiempo,yasoninsuficientespara protegerlaPc.Laimplementacindebsquedasheursticascomomtododeprevencin hasidodesumautilidad,especialmenteenlasempresasquehanpuestoelejeenelloy hanlogradoaltaefectividadenlaprevencinproactiva.Sinembargo,losnmerosindican quehayqueseguirtrabajandoalrespecto.Crearymejoraralgoritmosinteligentesesuna tareamuchomscomplejaquecrearvacunasparavirusconocidos,peroeslarealidad quehoynostocaenfrentar. No obstante, considero que la optimizacin de los resultados es un paso que debe ir acompaadodeuncambioestructuralyeducativoencuantoalautilizacindecualquier software antivirus. Los efectos colaterales de la heurstica, principalmente los falsos positivos,noseranunproblemasignificativoparalosusuariossisellevaranaporcentajes razonables, y si estos fueran concientes de los mtodos de bsqueda que posee el antivirus. Unusuarioqueconozcalascapacidadesdedeteccingenricadesusoftware,nodebera molestarsealverensuPc,unavisocomoelsiguiente: Elmotordebsquedahadetectado,atravsdesuscapacidadesheursticas,unarchivo sospechosoquepodraserunaamenazaparasuordenador Obviamente,elmensajeaqupropuestoesbastantemsextensoquelosbreves,ypor momentosinentendibles,avisosquearrojanlosantivirusenlaactualidadaldetectaruna amenaza.Esjustamenteporelloqueconsideroprimordiallaeducacindelosusuariosal respecto.Deestaforma,lossoftwareantiviruspodrnmodificarsuestructuraparatrabajar interactivamenteconelusuario.Unusuariomedionuncapodrentenderenprofundidadel funcionamientodeunantivirusperoslasideasfundamentalesylosconceptos.Hoyen da este, la nica certeza que tiene sobre su antivirus es que busca virus en su computadora.Elmismousuarioenmuchasocasiones,nosabequhaceranteelalerta devirus,niqubotnseleccionarcuandoseleofrecemsdeunaaccin.Esporello,que

-Pg. 27 de 35

Heurstica Antivirus - Sebastin Bortnik

todoslosavancesenlosmtodosdedeteccingenricossonenvanosilosusuariosno aprendenatenerlosencuenta,alahoradeelegirquantivirusinstalarensuordenador. Ensegundotrmino,consideroquesedebenterminardeplasmarlosmtodosgenricos debsquedaentodas las aplicaciones delaSeguridad Informtica. Enestastcnicas, reposa el futuro de la deteccin de amenazas y debe profundizarse este cambio para brindar proteccin real a los sistemas. Sin mtodos proactivos, ninguna aplicacin (Firewall, Antispam, IDS, etc.) ser capaz de dar una solucin integral para detectar y prevenirdecualquieramenazainformtica. Comoyasehamencionado,lacreacindeestosmtodosdebsquedaesmuchoms compleja que mantener los antiguos procedimientos reactivos utilizados hasta el momento. Los nuevos desafos, implican estudiar mucho ms en profundidad las amenazas y la clave del xito est en caracterizarlas profundamente, saber cmo funcionan y qu recursos utilizan. Para resumir, dira que lo importante es conocer al enemigo. Estos son los desafos prximos en lo que respecta al anlisis heurstico y deteccin genrica de amenazas informticas. Con el avance de estos, los antiguos mtodos reactivos que brindan una solucin por cada amenaza conocida, se convertirn en un aspecto bsico de cualquier software pero no permitirn inesperados niveles de rendimiento o diferenciarse de otras soluciones. Adems, el avance de la Inteligencia Artificialestanvelozqueesimposibleafirmarquelosalgoritmosheursticosnopodrn desinfectarlaPc.Siasfuerayseagregaraaellolacapacidaddeaprendizajeautnomo enfuncindelasdiferentesamenazasencontradas,probablementealgndalosmtodos reactivosdejarndeexistir. Deunauotraforma,esinnegablequeelfuturodeladeteccindemalwarereposaen estosmtodos yqueladeteccin genrica deamenazas eselnuevoparadigmadela seguridad informtica, al cual el entorno deber terminar de adaptarse para que las solucionesseancadavezmsefectivas.

-Pg. 28 de 35

Heurstica Antivirus - Sebastin Bortnik

Modelotericoparalacreacindereglasheursticasenseguridad Elsiguientemodelofuecreadoaformaderesumensobrecmoseutilizaelconceptode heursticaenlaseguridad.Constadeenunaseriedepasosparalacreacindelasreglas y un algoritmo general que permite detectar las amenazas a travs de una bsqueda heurstica. El mismo, no es de utilidad para implementaciones reales en algoritmos de programacin.Essolounmodelotericoparafacilitarlacomprensin. Cabe mencionar, que considero que el modelo es til, no solo para la seguridad informtica,sinotambinparalaaplicacinheursticaencualquierreadelaseguridad. Unconjuntodereglasheursticasestdeterminadoporlossiguienteselementos: Unabasededatosdecaractersticasgenralesdeamenazas Criterio/sdeseleccinparadeterminarsiunelementoesonounaamenaza.

Lospasospropuestosparaobtenerlosmismosresultadofinalson: 1. 2. 3. 4. 5. Identificarlasamenazasconocidas. Caracterizarlasamenazasindividualmente. Organizarlascaractersticasyagruparlassegnsuaparicin. Ponderarcadacaractersticasegnsufrecuencia. Seleccionarunoomscriteriosdeaceptacin/rechazoenfuncindelosvalores adoptadosenelpasoanterior.

Supongaqueseseleccionaunabasede200gusanosdealtapropagacinenlosltimos meses.Ensegundotrmino,sedebencaracterizarindividualmente.Estepasoeselms arduoycomplejoenlaelaboracindereglasydesubuenarealizacindependerelresto delproceso. Unavezlistadastodaslascaractersticas,sedeberealizar,comotercerpaso,unfiltrode seleccin.Esteconsisteenagruparlascaractersticascomunesyordenarlassegnsu aparicin y, considerar solo las caractersticas que tengan una frecuencia de aparicin razonable.Porejemplo,elenvomasivodeemailsseguramenteaparecerenlamayora delosgusanosanalizados.Sinembargociertascaractersticasconbajafrecuencia,que aparezcanenmenosde10gusanosporejemplo,puedendejardetenerseencuentapara lossiguientespasos. Elcuartopasoconsisteenponderaratravsdeunvalordepeligrocadaunadelas caractersticas. Esto se hace segn las frecuencias de aparicin. Una caracterstica encontradaen100gusanostendreldoblevalordepeligroqueunaencontradaen50 gusanos. Esto, en la realidad, puede variar y hacerse exponencial segn los mtodos especficosquesecreenparalaponderacindevariables. Porltimo,sedebedecidirapartirdequvalordepeligroacumulado,unelemento, serconsideradounaamenaza.Esdecir,nosecalificaraunobjetoungusanosolo porque encuentro una lnea de cdigo sospechosa. Se deben reunir un conjunto de caractersticas que indicaran que el elemento es sospechoso. Este valor es el que se

-Pg. 29 de 35

Heurstica Antivirus - Sebastin Bortnik

defineenesteltimopaso.Deestaformasetienenlosdosrequerimientosparaconfigurar unareglaheurstica. Unavezcreadaslasreglas,paracualquierelementoquesedeseedeterminarsiesono unaamenaza,deberpasarporalgnalgoritmoheurstico,cuyaformatericaseexplicaa continuacin.Laentradaeselelementoaanalizaryseinicializasuvalordepeligroen0 (cero).Setienenlosresultadosdelasreglasantesmencionadas:unabasededatoscon caractersticascomunesysusvaloresdepeligro;yelcriteriodeseleccin(sesuponeun nicocriterioparasimplificarelcaso).

elemento
Paracadacaractersticaenlabasededatos Seencuentraenelelementolacaracterstica? Sis Sino Sumar al valor de peligro el valor asociadoalacaracterstica

Eselvalordepeligro>umbraldeseleccin? Sis Sino Se considera al elemento una Seconsideraalelementoseguro. amenazaparaelsistema.

Mensajedealerta
En resumen, para el elemento que se desea analizar se buscan cada una de las caractersticasquefiguranenlabasededatosyseacumulanlosvaloresindividualesde aquellasquecoincidanyseanencontradasenl.Enelcasoqueelvalordepeligrototal supere el criterio de seleccin, se considera al elemento una amenaza a travs de la bsquedaheursticaysedeberindicarunalerta.Obviamente,enelcasodequeelvalor depeligronosealosuficientementealto,elelementoseconsiderarseguroyseconfiar enl. Elmodeloaqupresentado,lohecreadomientrasavanzabaeneldesarrollodeltrabajoy mehasidodeutilidadresumirlasideasenlycomprendermejorlarelacinentrelas variables y conceptos que se interrelacionan en la utilizacin de reglas heursticas en seguridad.

-Pg. 30 de 35

Heurstica Antivirus - Sebastin Bortnik

FUENTES
Bibliografa HARLEY,DAVID;SLADE,ROBERT;GATTIKER,URSVirusesRevealed: UnderstandingandCounterMaliciousSoftware.McGrawHillCompanies(2001). ISBN0072130903 PAJARES,MARTINSANZ;SANTOSPEAS,MATILDE.InteligenciaArtificiale ingenieradelconocimiento.Alfaomega(2006).ISBN9701511662. POLYA,GEORGE.HowToSolveIt:ANewAspectofMathematicalMethod. PrincetonUniversityPress(1973).ISBN0691023565. RUSSELL,STUART;NORVIG,PETER.InteligenciaArtificial,unenfoque moderno.PearsonPrenticeHall(2004).ISBN842054003X

SitiosWeb AlertaAntiVirus http://alertaantivirus.red.es/ AvComparatives http://www.avcomparatives.org/ BlogLaboratorioEset http://blogs.esetla.com/laboratorio/ EnciclopediaVirus http://www.enciclopediavirus.com/home/ Eureka http://ciencianet.com/eureka.html Kriptopolis http://www.kriptopolis.org/ RealAcademiaEspaola http://www.rae.es/ SeguInfo http://www.seguinfo.com.ar VirusList

-Pg. 31 de 35

Heurstica Antivirus - Sebastin Bortnik

http://www.viruslist.com Webopedia http://www.webopedia.com/

Papers ATOCHA,ALISEDA"Heurstica,hiptesisydemostracinenmatemticas" http://www.filosoficas.unam.mx/~Tdl/atocha.htm BENJUMEAPULIDO,MIGUELA.EUREKA,EUREKA,elprincipiode Arqumedesvistodesdelaperspectivadeundilogoclsico. http://personales.ya.com/casanchi/rec/arqui01.pdf BORGHELLO,CRISTIANF.Cronologadelosvirusinformticos http://www.esetla.com/press/informe/cronologia_virus_informaticos.pdf BORGHELLO,CRISTIANF.GuabsicadeutilizacindemediosInformticos deformasegura Pertenecientealcursoonlinedeseguridadenhttp://edu.esetla.com/ BORGHELLO,CRISTIANF.Lahistoriasinfin:VirusBagle http://www.esetla.com/press/informe/historia_sin_fin_virus_bagle.pdf GORDON,SARAHTheAntiVirusStrategySystem http://www.research.ibm.com/antivirus/SciPapers/Gordon/Strategy.html#GENERAL GORDON,SARAHWhatisWild? http://vx.netlux.org/lib/pdf/What%20is%20Wild%3F.pdf GORDON,SARAH;FRASERHOWARDAntivirusSoftwareTestingfortheNew Millenium http://csrc.nist.gov/nissc/2000/proceedings/papers/038.pdf HARLEY, DAVID; LEE, ANDREW Anlisis heurstico: detectando malware desconocido http://www.esetla.com/press/informe/analisis_heuristico_ detectando_ malware_desconocido.pdf HERNANDO,SERGIOAsfuncionaunaheursticaantivirus http://www.sahw.com/wp/archivos/2006/07/03/asifuncionaunaheuristicaantivirus primeraparte/ KUMAR,SANDEEP;SPAFFOR,EUGENEH.AGenerisVirusScannerinC++

-Pg. 32 de 35

Heurstica Antivirus - Sebastin Bortnik

http://vx.netlux.org/lib/pdf/A%20Generic%20Virus%20Scanner%20in%20C%2B %2B.pdf MACHADO,JORGEBreveHistoriadelosVirusInformticos http://www.perantivirus.com/sosvirus/general/histovir.htm MCAFEEAnIntroductiontoComputerViruses(andotherdestructiveprograms) http://www.mcafee.com/common/media/vil/pdf/av_white.pdf MERELO,J.J.Tcnicasheursticasderesolucindeproblemas:computacin evolutivayredesneuronales http://geneura.ugr.es/~jmerelo/tutoriales/heuristics101/ MIN,PATRICKVirusDetectionAlternatives http://vx.netlux.org/lib/apm00.html MOSTOVOY, DMITRY Modern Methods of Detecting and Eradicating Known andUnknownviruses http://vx.netlux.org/lib/pdf/Modern%20Methods%20of%20Detecting%20and %20Eradicating%20Known%20and%20Unknown%20Viruses.pdf SCHMALL,MARKUSHeuristicTechniquesinAVSolutions:AnOverview http://www.securityfocus.com/infocus/1542 SCHMIDT,CHARLES;DARBY,TOMTheWhat,Why,andHowofthe1988 InternetWorm. http://snowplow.org/tom/worm/worm.html SPAFFORD,EUGENEComputerVirusesasArtificialLife http://vx.netlux.org/lib/aes02.html

Otros ANTIVIRUSCOMPARATIVENO.14(TestindependienteMayo2007) http://www.avcomparatives.org/seiten/ergebnisse/report14.pdf ANTIVIRUS,RENDIMIENTOVS.PROTECCIN(Artculo) http://www.hispasec.com/unaaldia/3210/ COMOFUNCIONAUNANTIVIRUS(VideodesarrolladoporMcAfee) http://www.youtube.com/watch?v=0Q_hSXqsmTA CMOFUNCIONAUNLABORATORIOANTIVIRUS(Noticia) http://www.terra.es/tecnologia/articulo/html/tec10175.htm

-Pg. 33 de 35

Heurstica Antivirus - Sebastin Bortnik

HEURSTICAANTIVIRUS(Artculo)MorenoPrez,Arnolodo http://alertaantivirus.red.es/virus/ver_pag.html?tema=V&articulo=6&pagina=4 HEURSTICADELOSANTIVIRUS(Artculo) http://www.zonavirus.com/datos/articulos/19/Heur%C3%ADstica_Antivirus.asp HOWCOMPUTERVIRUSESWORK(VideoArtculo) http://www.howstuffworks.com/virus.htm LOS LABORATORIOS DE ANTIVIRUS, DESBORDADOS POR LA MULTIPLICACINDEPROGRAMASPELIGROSOS(Artculo) http://www.mnsoft.net/es_seguridad_los_laboratorios_de_antivirus_ desbordados_por_la_multiplicacion_de_programas_peligrososno9.html RICHARDMARKO,deESET(Entrevista) http://www.enciclopediavirus.com/enciclopedia/articulo.php?id=343 http://www.wikilearning.com/entrevistawkccp49111.htm TESTDEANTIVIRUS(PginaWebdeEicar) http://www.eicar.org/anti_virus_test_file.htm

-Pg. 34 de 35

Heurstica Antivirus - Sebastin Bortnik

ElpresentedocumentoesautoradeSebastinBortnikypuededescargarse delsiguientelink: http://unmundobinario.wordpress.com/articulos/

-Pg. 35 de 35