VR11: Respondiendo a los mitos y fantasías
por Vesselin Bontchev
En el número anterior, Köhntark escribió una nota sobre la industria anti virus. Vesselin Bontchev responde en ésta a sus acusaciones.
Köhntark menciona en su artículo del número 10 de Virus Report que la industria anti virus ha pasado de ser una curiosidad a ser el soporte de una industria multi millonaria en dólares. El Hacking y otros tipos de delito por computadora también. Ultimamente hay un serio crecimiento en la demanda de productos relacionados con la seguridad informática. El cambio ha afectado al usuario final en una forma negativa, como se predijo. El usuario final debe pagar más y sus datos se dañan relativamente más a menudo. El potencial económico de estos peligros fue aprovechado por algunas personas. Esto ha sido así desde que existe la sociedad humana como tal. ¿Cuál es la diferencia con los seguros, sistemas contra ladrones, medicinas, consultores legales? Estas actividades funcionan exactamente de la misma manera. Hay gente que no entiende algo y otros que sí. Las últimas ofrecen su ayuda a las primeras, por un precio, por supuesto. Así es como funciona una sociedad capitalista normal.
Köhntark acusa a los expertos como 'expertos auto denominados'. Esto no es así. Esta gente se ganó su reputación por trabajar duramente, analizando cientos, si no miles, de virus, ayudando decenas de miles de usuarios y dando ayuda gratuita y compartiendo gratuitamente la parte de su conocimiento que pueda ser útil para el usuario. Es cierto, algunos, (la mayoría) de ellos han sido muy restrictivos sobre la parte de su conocimiento que podría tener efectos nocivos si cae en malas manos. No veo nada malo en esto. No creo que tampoco lo vea ninguna persona razonablemente racional. Köhntark menciona el 'control' que se hace en Virus-L (la lista en Internet sobre virus) y la censura de la información potencialmente peligrosa. La lectura de Virus-L está recomendada para cualquiera que esté interesado en los virus informáticos. De esta forma van a poder decidir por si mismos, en lugar de tener que creer en las erróneas afirmaciones de Köhntark. Van a poder ver que todos esos expertos que le disgustan tanto están desperdiciando su tiempo respondiendo una y otra vez a las mismas preguntas y ayudando a la gente con su conocimiento sobre los virus, gratuitamente. Es posible publicar cualquier cosa allí, aún la pregunta más tonta, y lo más probable es que sea respondida con profesionalismo. Sólo dos cosas son desaprobadas: las discusiones interminables e insultos son desalentadas por el moderador, y publicar o pedir virus está estrictamente prohibido. No pienso que esto sea una gran restricción, especialmente teniendo en mente que, como el mismo Köhntark dice, la misma (peligrosa) información está disponible en el underground, así que si quien realmente la desee la puede obtener de allí.
Con respecto a los escritores de virus, muchos de nosotros conocemos a varios personalmente. El estereotipo que describe Köhntark como falso, de chicos de 15 años, parias sociales sin educación, es en efecto bastante común, aunque la edad normalmente varía entre 15 y 25 años. El resto, gente sin educación y anti social, se aplica a la mayoría, incluyendo a Köhntark. Afirma que muchos autores de anti virus tienen títulos universitarios y doctorados, a diferencia de los investigadores. Quizá podría presentar alguna evidencia, con respecto a los autores de virus. Todavía tengo que ver un escritor de virus activo con un doctorado en un área técnica. Con respecto a los investigadores anti virus, acá tienen algunos ejemplos: Yo tengo títulos universitarios en ciencias de la computación, y estoy trabajando en mi doctorado. Fridrik Skulason está graduado en la universidad. Dave Chess y Steve White tienen ambos un doctorado en matemáticas. Alan Solomon es doctor en economía. Roger Riordan tiene un título en ingeniería. El profesor Klaus Brunnstein tiene tantos títulos que ni yo los conozco a todos. Harold Highland es un profesor emérito. Hay mucha más gente brillante en el campo anti virus que tiene grados académicos, y cuyos nombres se me escapan en este momento. ¿Pero cuál es el propósito de todo esto? ¿Desde cuándo el grado académico de alguien es una medida de cuan benéfico o maléfico es para la sociedad? Pienso que deberíamos medir su verdadera contribución. Los escritores de virus son esa gente que escribe las porquerías que destruyen sus datos. Los investigadores anti virus son quienes inventan, implementan, y les venden medios para combatirlas. Háganse su propia idea sobre quien es más beneficioso y quien es más dañino.
Dice que los scanners son ineficientes. Esto demuestra lo que sabe del tema, o sea, nada. Primero que nada, los scanners son el único método conocido de detectar un virus antes de que sea ejecutado. Segundo, es la única manera de asegurar que un sistema dado está libre de virus, antes de instalar otra línea más fuerte de defensa anti virus. Tercero, sólo ignorantes como Köhntark no saben que hay métodos modernos de búsqueda, que no necesitan más tiempo cuando buscan más virus. La mayoría de los scanners contemporaneos usan esos métodos: TbScan, HTScan, VET, F-Prot, FindVirus, IBM Antivirus, y muchos otros. Köhntark se pregunta cómo es que nadie inventó nada mejor. Lo hicimos. Inventamos los chequeadores de integridad, shells de integridad, programas de monitoreo, analizadores heurísticos, herramientas de desinfección genéricas, desencriptores genéricos, desinfectores automáticos de virus de boot sector, aparatos de control de acceso por hardware, herramientas de encriptación, software de backup. ¡Hay tantas líneas de defensa anti virus! No es nuestra culpa si alguna gente no las conoce o no quiere usarlas, porque piensa que sólo los scanners son programas anti virus. Es nuestro deber educar a aquellos que quieran escuchar, de todas formas es lo que estamos haciendo todos nosotros.
Köhntark habla del negocio que significa para los productores de anti virus la producción de nuevos virus cada mes. Es una vieja leyenda urbana, que dice que cuantos más virus hay, los productores de anti virus ganan más dinero, porque los usuarios deben pagar las actualizaciones. Esto simplemente no es verdad. Primero que nada, muchos ni siquiera cobran dinero por las actualizaciones. En vez de eso, el usuario firma un contrato con el productor y este último tiene que suministrarle todas las actualizaciones necesarias por, digamos, los próximos dos años. ¿Uno no va a pagar por la actualización de su compilador de C después de dos años? ¿Los productores de compiladores de C son también un grupo de estafadores, que están a la búsqueda de tu dinero, y usando las actualizaciones como una herramienta para el crimen?
Segundo, hay dos alternativas. Supongamos que durante ese período de dos años no aparecen nuevos virus. El productor se guarda tu dinero y no tiene que gastar tiempo y esfuerzo para producir las actualizaciones. Es claramente un beneficio. Ahora, supongamos que el número de virus no sólo crece exponencialmente, sino que los autores de virus se reúnen en una especie de convención secreta y producen en ese período 100.000 virus completamente nuevos. (Es improbable pero completamente posible). El productor de anti virus tendrá que invertir mucho tiempo y esfuerzo para producir las actualizaciones necesarias, de otra forma significaría romper un contrato. Claramente, es una mala situación para él. Ahora, piensen de nuevo y díganme: ¿Están los productores interesados en que se incremente el número de virus existentes, o no?
El interés real de los productores es que no hayan nuevos virus, pero que los virus viejos sigan desparramándose, así pueden seguir vendiendo sus productos, sin tener que invertir en esfuerzos adicionales. Y, hasta ahora, nadie tuvo éxito en prevenir que se desparramen los virus viejos. La mayoría de la gente no usa ningún tipo de protección anti virus, así que el mercado sigue abierto. Saquen sus propias conclusiones.
Köhntark, en el primero de sus 'mitos', habla de que la industria anti virus dice que cientos de virus nuevos se escriben por año. Esto es perfectamente cierto. Dice que la mentira está en la palabra 'nuevos', al considerar una variante de un virus viejo como nueva. Está bien que los consideren como nuevos. Para algunos scanners, en efecto, no son virus nuevos si pueden detectarlos con un string viejo. De todas formas, no todos los scanners son tan malos. Hay productos como FindVirus (de Dr. Solomon) y F- Prot que son capaces de realizar una identificación exacta, guardando una especie de mapa de todas las partes no modificables del virus. La identificación exacta es imprescindible para la desinfección segura de un virus. Si uno trata de desinfectar la variedad equivocada, las consecuencias pueden ser desastrosas.
Köhntark dice que la afirmación de que cientos de nuevos virus se escriben cada semana es falsa, ya que la mayoría son simples modificaciones de virus viejos. Como académico, prefiero que las afirmaciones estén respaldadas por datos contundentes, expresados como números. De acuerdo a mis estadísticas, alrededor del 10% de los virus existentes son originales, escritos desde cero. Esto es, uno de cada diez nuevos virus es realmente nuevo, aún de acuerdo a la propia definición de Köhntark (que ningún investigador anti virus que se respete comparte). Yo no diría que un 10% es una cantidad pequeña. Aparte de eso, nadie dice que se escriban cientos de virus nuevos cada mes. Todavía no. El promedio actual es de alrededor de 4 o 5 virus nuevos por día, o unos 20 o 30 por semana. Estos son 2 o 3 virus nuevos, de acuerdo con la definición de Köhntark. Köhntark cita como segundo mito 'Todos los virus son extremadamente peligrosos y destructivos'. En realidad, lo que afirmamos es que algunos virus son extremadamente peligrosos y que todos ellos pueden ser destructivos en algunos entornos. Seamos más precisos con las palabras. Para demostrarlo, cita al Vsum de Patricia Hoffman como la única fuente de información, aunque no confiable. En realidad hay mejores, pero no tienen ese tamaño. Si contamos el número de virus que 'no hacen nada además de reproducirse', dice Köhntark, son más del 70%. Pero, mejor que eso, contemos el número de virus sobre los que Vsum dice 'no se sabe que hace este virus además de reproducirse', y vamos a obtener una mejor comprensión sobre el nivel de competencia, conocimiento y confiabilidad de su autor sobre los virus. Lo que realmente queremos decir es que todos los virus pueden causar daño. Supongamos un virus que infecta un programa que se chequea a si mismo. El virus no hace nada, excepto reproducirse. De todas formas, ese programa no funciona más. Si es un programa que necesitas urgentemente, y que es importante para tu negocio, entonces hay un daño causado por el virus. Otro ejemplo. Consideremos un virus que es tan educado que te pide permiso antes de infectar un archivo. Entonces, ese virus termina en un sistema de tiempo real que controla algo realmente importante, como un equipo médico crítico. El corazón del paciente está funcionando mal, el sistema lo detecta y activa el programa responsable de activar el dispositivo que inyecta la cantidad adecuada de medicina. Pero el programa no se ejecuta. En lugar de eso, la computadora se detiene preguntando 'puedo infectar este archivo? S/N' y espera la respuesta del usuario.
El punto es, una vez que se libera un virus, está fuera de control. Su autor no tiene manera de detener su diseminación o de arreglar sus bugs. El virus puede terminar en un sistema sobre el que el autor no sabe nada, o un sistema que no existía cuando se creó el virus. Y en este sistema desconocido, el virus puede causar daño. Conclusión: los virus son dañinos, peligrosos, y no deben ser creados o por lo menos, distribuidos.
El tercer mito para Köntark es que 'su computadora es un blanco potencial de infección para millones de virus'. Esto es falso, sólo existen 3.800 en el momento de escribir esto, mediados de diciembre de 1993. Köhntark nos presenta una serie de medidas para que ningún virus pueda infectar nuestro sistema. Yo puedo diseñar por lo menos tres o cuatro métodos que podría usar un virus para infectar un sistema a pesar de seguir las medidas propuestas por él. La primer medida es no usar software ilegal o pirata. Es una buena idea, (y mantiene a los abogados alejados), pero no detiene a los virus. Hay cientos de casos documentados de virus distribuidos con paquetes originales. La segunda, es proteger siempre los diskettes contra escritura. Es buena, a menos que uno quiera escribir en ellos. En ese momento puede infectarlos un virus. La tercera es instalar al menos dos programas de integridad. Uno sería suficiente. Desafortunadamente hay lo que se llaman 'virus lentos', que infectan sólo cuando un archivo está siendo modificado, lo que pasaría por encima de una protección basada únicamente en la integridad. Para mas datos, ver mi trabajo 'Possible Virus Attacks Against Integrity Programs and How to Prevent Them' (posibles ataques de virus contra programas de integridad, y cómo prevenirlos). La cuarta medida es ejecutar periódicamente los programas de integridad. Seguro, si uno instaló una protección anti virus, es una buena idea usarla. Los problemas empiezan cuando esa protección no te protege. La quinta medida es instalar software de control de acceso. Es una buena idea, pero no puede detener los virus. El control de acceso sólo hace más lenta la diseminación de los virus, como está probado por los trabajos del Dr. Cohen. Es el mismo usuario legítimo del sistema el que va a introducir el virus, después de entrar y pasar por todos los niveles de autorización. Con los métodos de Köhntark, se van a reducir las posibilidades de que un sistema se infecte, pero no a cero. Una idea mejor es usar todos los métodos de defensa anti virus: scanners, chequeadores de integridad, monitores, control de acceso, y todo lo demás. Como cuarto mito, dice que los autores de virus son más imaginativos y creativos que la mayoría de los investigadores anti virus, y dice que ese mito es verdad. Nadie afirma eso, excepto los mismos autores de virus. En realidad, la mayoría son bastante tontos e ignorantes, y no son capaces de producir un solo virus sin bugs. En efecto, algunos de los virus que crean tienen tantos bugs que no son capaces de infectar un solo archivo. Obviamente, sus autores ni siquiera los probaron una vez. Llamamos a esos virus 'intentos'.
El mito cinco dice que si se libera la información sobe los virus el universo de las computadoras va a colapsar. Ciertamente, el universo no va a colapsar. Pero ciertamente es mejor abstenerse de distribuir virus o información que ayude a crearlos, que no hacerlo. Por supuesto, distribuir información que ayude a luchar contra ellos es algo completamente diferente. Köhntark argumenta que la mayoría de los usuarios no saben programar, y que muy pocos saben assembler, con lo cual muy pocos sabrían que hacer con un fuente de un virus. Pero la mayoría sabe como ejecutar un programa, especialmente si se le explica cómo hacerlo. Lo que hace la distribución de fuentes de virus listos para ensamblar o scripts para Debug especialmente peligroso, porque aún esos usuarios no calificados van a ser capaces de recrear el virus y quizá accidentalmente infectar su propia máquina, pero que ciertamente no tendrán el conocimiento para enfrentarse con la infección resultante. También dice que distribuir código fuente de virus no es peligroso y no tiene efecto en el número de infecciones. Las estadísticas de la vida real prueban lo opuesto. El último caso fue el virus Satan Bug. Su código fuente fue distribuído libremente por un BBS del gobierno de los Estados Unidos. Ahora, el virus está infectando las computadoras del gobierno de los Estados Unidos. Saquen sus propias conclusiones. Para demostrar el que el mito seis, 'los antivirus son softwares profesionales', dice que si un chico de 15 años puede modificar un virus como para que no lo detecte un anti virus, entonces el anti virus es malo. Yo le respondo con la siguiente analogía: un chimpancé puede romper en segundos un jarrón chino Ming muy valioso, que hacerlo le tomó meses a un maestro chino. ¿Esto significa que el chimpancé es más inteligente que el maestro?
El séptimo mito dice que los virus causan millones de millones de dólares de pérdidas, Köhntark dice que es una completa fantasía y que la gente pierde más plata comprando software anti virus. La verdad es que las pérdidas son difíciles de medir. De paso, yo incluiría en ellas el precio que los usuarios han pagado por los productos anti virus. Después de todo, si no hubiesen virus, no haría falta pagar ese precio. El mito ocho dice que todo progreso en la industria anti virus fue producido por los investigadores. Köhntark opina que en realidad fue producido por las innovaciones en los virus. La realidad es que todos los progresos en la industria anti virus fueron conducidos por los investigadores anti virus. Es cierto que las mejoras en los virus los han forzado a hacer este progreso en la protección anti virus, pero no pienso que sea algo de lo que puedan estar orgullosos los autores de virus. Sólo puedo acordarme de una cosa que inventaron los autores de virus y que se usa en algunos anti virus. Es lo que se llama 'tunneling', la habilidad de algunos virus para pasar por encima de los programas de monitoreo. Cuando se usa en productos anti virus se llama 'técnica anti stealth', porque ayuda a pasar por encima de algún virus stealth presente en memoria. De todas formas, el método es poco confiable, pocos productos anti virus lo usan, y todos ellos tienen la opción de deshabilitar este método. El mito nuevo dice que escribir y intercambiar virus será ilegal. Köhntark dice que en algunos países puede ser, pero que nunca lo será en Estados Unidos. Fue hecho ilegal en algunos países, como el Reino Unido, Suiza o Suecia. Están en camino movidas para hacerlo ilegal en Estados Unidos. Según él, escribir virus está protegido por la constitución de los Estados Unidos. Conozco varios abogados norteamericanos que no opinan lo mismo, y prefiero creer en su opinión profesional.
Vesselin Bontchev es miembro de CARO, la organización mundial de investigadores anti virus. Trabaja en el Virus Test Center, centro de investigación de virus en la universidad de Hamburgo, Alemania. Ha publicado muchísimos trabajos de investigación y teóricos sobre los virus informáticos.
