jump to navigation

Atacando un Antivirus – Parte I Abril 24, 2008

Posted by fids in Seguridad, Software.
Tags: , , ,
trackback

Hace poco me tope con un articulo bastante interesante sobre los posibles ataques a un Antivirus, ese software que se nos hace indispensable tener instalado en nuestros equipos. Sabemos que la mayoria no esta “tranquilo” sin un antivitus, y los que tienen uno, muchas veces, solo estan tranquilos, siempre que este “actualizado”, pero, ¿Realmente es garantía usar nuestro querido antivirus actualizado?. En este post, revisaremos un poco el funcionamiento de un antivirus, y porque este tipo de software tambien es vulnerable a varios tipos de ataques.

A continuación, se describe el articulo técnico en ingles “Attacking Antivirus” escrito por Feng Xue (Technical Lead, Nevis Labs). Esta es por lo tanto, una traduccion libre y puede contener errores y cambios de acuerdo a mi criterio :p

Abstracto

Los antivirus son ahora un componente común de los sistemas de computadoras. Sin embargo, los aspectos de seguridad pertenecientes al software antivirus en si mismo, no tienen la suficiente atención por parte de los vendedores y usuarios finales. (Vaya novedad).

Este artículo, examina el porque un software antivirus es vulnerable a varios ataques y porque su seguridad es muy critica. Examina las herramientas y las técnicas, especialmente las técnicas Fuzzing, usado por atacantes para exponer vulnerabilidades en soluciones antivirus. Tambien revisa las maneras en que los atacantes explotan esas vulnerabilidades.

Este artículo por lo tanto, tiene como objetivo aumentar el nivel de conciencia sobre la seguridad de un producto de seguridad. (¿Si que suena interesante verdad ?)

1. Introducción

De acuerdo a la National Vulnerability Database, ente el 2004 y el 2007 se registraron 165 vulnerabilidades en software antivirus. 9 en el 2004, 44 en el 2005, 52 en el 2006 y 60 en el 2007.Por lo tanto, es claro que un software antivirus puede ser un objetivo asi como otros componentes o servicios en un sistema de computadora.

2. ¿Qué hace al antivirus un blanco perfecto?

2.1. Las personas tienen una completa fe en el

El uso de un software antivirus, se ha convertido casi en un acto de fe. Las personas parecen sentirse mas seguras no con un sistema operativo mas seguro o con la ultima actualización de seguridad, sino con algún software antivirus intalados en sus sistemas.

Un estudio(ya un poco desactualizado), muestra que el 81% de usuarios, tienen instalado un software antivirus en su computadora. Lo que claramente indica que el softwre antivirus es una necesidad primaria para muchos usuarios

Usuarios que usan Antivirus

Las preguntas son: ¿Es el antivirus suficiente?, ¿Se justifica una fe ciega en su uso?. ¿Qué pasa si un atacanta ‘ataca’ el software antivirus en si mismo en lugar del sistema operativo?

Considerando a un usuario promedio, quien obtiene o descarga algunos archivos (ejecutables, documentos, media, etc), su antivirus instalado en su computadora escaneará los archivos entrantes automaticamente (Quizá el usuario lo haga si sospecha de la presencia de virus). Y asi, con esto el antivirus se convertiría en la puerta de seguridad para los archivos entrantes.

Lo que El o Ella no saben, es que muchas soluciones antivirus desarrolladas en el pasado, fueron diseñadas sin una seguridad holistica (no sean ociosos y busquen en su diccionario) y sus desarrolladores asumieron que archivos no confiables estaban siendo escaneados satisfactoriamente por su software. Pero ¿Qué si esos archivos dañan la solución software en si misma?

La amenaza a la seguridad de un antivirus es por lo tanto asistida por 2 aspectos

  1. La aceptación a ciegas por parte del usuario del antivirus considerandola una bala de plata
  2. La sobreconfianza de los vendedores de antivirus en la inmunidad de su software contra todos los archivos

2.2 Los procesos antivirus son propensos a errores

El software antivirus es una de las mas complicadas aplicaciones pues tiene que tratar con cientos de tipos de archivos y formatos entre ellos:

  • Ejecutables (exe, dll, msi, com, pif, cpl, elf, ocx, sys, src, etc)
  • Documentos (doc, xls, ppt, pdf, rtf, chm, hlp, etc)
  • Archivos comprimidos (arj, arc, cab, tar, zip, rar, lzh, ace, iso, etc)
  • Empaquetadores ejectables (upx, fsg, mew, nspack, aspack, etc)
  • Archivos Media (jpg, gif, swf, mp3, rm, wmv, avi, wmf, etc)

Cada uno de estos formatos puede ser muy complejo. Por eso, es extremadamente difícil para un software antivirus procesar todos esos formatos apropiadamente.

Esto es ampliamente claro en otra investigación en vulnerabilidades antivirus, revelando que muchas vulnerabilidades existen en los 2 componentes siguientes:

Todo software antivirus, intentará descomprimir un ejecutable o datos comprimidos (debido a que puede estar infectado). Pero el problema con la descompresión de estos ejecutables y datos es que ambos procesos son altamente complicados. El antivirus para ello, debe realizar un calculos complejos, asignación de memoria y extraer datos de acuerdo a sus cálculos. Cualquier error en estos procesos abre las puertas a las vulnerabilidades.

Estos puntos pueden ser suficientemente irresistibles para un atacante de tal modo que apunte contra una solución antivirus, pero, ¿Cómo encuentran ellos agujeros en el blindaje de un antivirus?

Continuara…

Fuente: Nevis Network

Comentarios»

1. Juanpe - Mayo 4, 2008

Oe ponte a trabajar que hay bastante chamba en la oficina :P

Ta chevere tu saludo, solo te falto saludar a los ambulantes que te dejan las cosas mas baratas pero q te joden el paso cuando tas apurado jaja.

Cuando tenga mi blog activo voy a copiar y pegar tu saludo, jajaja

Responder