UN FRAGGLE
Tal como mis áreas de conocimientos no incluyen los troyanos, backdoors, keyloggers y hooks, me puedo atrever a escribir este artículo después de que mi recién instalado antivirus me sorprendiera con un par de ventanas algo estremecedoras, preguntándome qué hacer con su último security threat detectado mediante el realtime file system protection y application modification detection – o lo que es lo mismo, su protección del sistema de ficheros en tiempo real y el motor de detección de modificaciones de aplicación – esta última perteneciente al firewall.
¿Qué hacer cuando tu antivirus te dice que – habiendo recién compilado tu programa que se conecta a un servidor SMTP y POP para el correo – este último “ha sufrido modificaciones, pero cuidado, puede no ser un cambio de versión del mismo”?
Para tener una ligera idea del asombro que me causó la susodicha alerta – que pude copiar en un screenshot que muestro más abajo – me explico mejor.
Para los que hagan sus programitas, el hábito de compilar y ejecutar, ya casi automático en muchos – incluyéndome – después de hacer la más ligera modificación en un programa, nos evita la molestia de cambiar mucho código, que nos dé error, y después buscar qué fue lo que hicimos mal. Para esto en Delphi se resume la opción en la tecla F9, con la que podemos compilar y ejecutar en un solo paso.
Así que cuando después de apretar F9 para ver qué había entendido el compilador con el nuevo código que recién había puesto, me sale en menos de 10 segundos un “cartel rojo” diciendo que mi programa Paula – que se encontraba corriendo en esos momentos – había sufrido modificaciones. Me aparece de así, en el aire; me quedé realmente impresionado con este nuevo truco que me sacaba del sombrero el Eset Smart Security. Es que esto sólo se puede hacer si se comprueba a través de un CRC el programa directamente desde la memoria – el qué es un CRC lo traté en números anteriores –, y se guarda en un registro, para después compararlo con las anteriores ejecuciones. Si esto no es un buen truco para un antivirus, que por favor alguien me diga cuál es.
Pero no sólo esta sorpresa me guardaba el antivirus, sino que le doy Allow (permitir) a la ventana, mi programa me pregunta muy cortésmente si me quiero conectar al servidor de correo de salida, le digo que sí, pero nuevamente me sale el “cartel rojo”. “Bueno, esto es muy insistente”, me digo. Va por el mismo camino que el Vista, con sus cartelitos tediosos. Pero para mi sorpresa, el contenido era muy diferente al de la ventana anterior: este me pide permiso para que un programa no identificado trate de conectarse por determinado puerto a una dirección IP que me daba más abajo. Era mi programa Paula, tratando de conectarse al servidor de correo. Aseguro que me cree una regla – es decir que nunca más me pregunte de este caso en específico – y clickeo allow de nuevo.
Vista de la aplicación.
WOW!
Haciendo un poco de memoria, hace algún tiempo tuve instalado NOD32 – por el mismo modo de prueba a que someto algunas de estas aplicaciones – y se ha debatido tanto esto, que sinceramente no quiero ahondar en el asunto. El tema es que este no reconocía ni era capaz de eliminar alguno de los virus más comunes que se presentan por las memorias en todas sus modalidades, y por lo que fui capaz de ver, además de agregarme un par de líneas de texto – bastante molestas – al final del correo diciendo que “todo está bien en este mensaje”, no tenía otro uso práctico para mí.UN POCO DE HISTORIA
Siempre me pareció que el Kaspersky – del arquitecto con el mismo nombre – y el Symantec eran los antivirus más rentables, el primero por ser definitivamente el más completo antivirus that ever came to life y el segundo, pues bueno, por poseer la mejor relación – en mi opinión – seguridad contra rendimiento. El Kaspersky pues bueno, quizá por ser tan paranoico, me parece el antivirus idóneo para instalar en escuelas – o en centros públicos en general – donde la afluencia de personas bien intencionadas con programas mal intencionados puede poner en peligro cualquier sistema. Pero para el confort de casa, o de tu puesto de trabajo, no es el correcto. Para esto existía por regalo de la naturaleza el no tan reconocido por todos Symantec Antivirus, salido como por historieta del Norton Antivirus, ingeniado después de que la empresa Symantec comprara los derechos del Norton Commander, tan útil en la era del MS-DOS – que no es más que un paquete de aplicaciones programado por un gurú de la informática llamado Norton, que hacía absolutamente todo lo que el sistema no se atrevía a hacer.Por lo que respecta al segundo, es para mí historia antigua. Los diseñadores del mismo no se han atrevido a hacer los cambios, tanto de interfase como de su motor de búsqueda, necesarios para adaptarse correctamente a los regímenes más agresivos de trabajo en que se puede encontrar uno de ellos, que en un tiempo lo convirtió y mantuvo como un antivirus de lujo.
Volviendo al NOD32, el punto culminante que hizo que se ganara el titulo de “programa no deseado” en mi PC fue justamente su falta de interacción con el usuario y su desesperante desconfianza – no confundir con la paranoia casi inocua del Kaspersky que antes mencionaba – que tenía ante todo las aplicaciones que requieren de grandes prestaciones. Esto devino de la instalación del World of Warcraft (WoW) con su correspondiente Emulator para emular el server que mi conexión telefónica no podía concederme.
Resulta que el WoW es un juego multiusuario y de rol por excelencia, y los que lo conocen sabrán que esta capacidad de interactuar con otro usuario por banda ancha a través de este rito mágico, atrae a miles de usuarios a nivel mundial que a la vez se encuentran en el cibermundo.
Esta propaganda que acabo de dar no es por gusto. Significa que si tú eres programador de antivirus, y quieres que este venda, lo primero que tendrás que hacer es un estudio de mercado para reconocer qué programas usan más tus posibles usuarios, y si haces un firewall, tendrás que tener en cuenta de que por ahí se conecta no sólo el Outlook y Internet Explorer, sino también podría tratar de conectarse el WoW con su servidor remoto en Internet por un puerto que no es convencional. Sin esta conexión, el WoW no es nada más que 1,5 Gb de disco duro mal empleados.
Así que, cuando después de descomprimir la carpeta que contiene el emulador del servidor del WoW, de usar una utilidad para crearme un usuario, de ejecutar el emulador, de esperar a que se inicialice y de finalmente ejecutar el WoW, para un total de una hora y casi dos gigas ocupados desde que empezara a instalarlo, me dijo ( el WoW ) en su menú inicial con las dos torres místicas al estilo del Señor de los Anillos, que no podía conectase al “servidor remoto”, que da la casualidad no era más que 127.0.0.1 – para los newbies esto es localhost, o sea, mi propia dirección IP de red – ya que no lo encontraba. De más decir que esto fue suficiente para sacarme de paso.
Empecé a desesperarme y me dije a mí mismo, “debe ser el producto estrella de la empresa de Redmond”, que en su Service Pack 2 incluyó un firewall y Centro de Seguridad también muy molestos, pero que por suerte – o por precaución contra las leyes antimonopolio de la Unión Europea – supieron poner un “botón de apagado” para aquellos que les molestara tanto como a mí.
CRITIC-ON
Pero al parecer no, increíblemente esta vez NO era culpa de Redmond, sino de mi indeseable antivirus Nod32 en su versión más propagada para NT. Por primera vez consideré a un antivirus como el virus en sí. Lo primero que hice fue darle la orden de parar a través de la consola de servicios, pero mi juego seguía esperando por la conexión. ¿Será persistente el muy condenado? Terminé mandándolo a desalojar mi computadora a través de su instalador. Después de esto reinicié, y al fin, pude ver el panel de selección de personajes del WoW.Lo que quiero decir con esto es que, más que dármelas de sabihondo en este mundo tan inmenso de virus y vacunas contra estos virus, agregar mi modesto criterio respecto a algunos de los mismos. El mejor antivirus no va a ser el que más virus detecte según los Virus Bulletins, o el que menos falsos positivos tenga en su record, sino el que verdaderamente cumpla con la voluntad del usuario y, de paso, todas las cualidades anteriores, incluyendo que corra en la máquina en la que el usuario tenga dominio, ¡incluso si es una PII!.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario