Un grupo de investigadores de la Universidad de Luxemburgo y la Universidad de Londres han compartido los resultados de un análisis sobre la debilidad de los antivirus ante dos trucos que no solo han traspasado las barreras de protección sino que han permitido realizar acciones maliciosas a partir de entradas del teclado y el ratón. En el primero, que han denominado 'control fantasma', simulan eventos de clic del ratón para desactivar la protección del antivirus. Parten de la idea de que se puede desactivar un antivirus estándar...
Comentarios
Mola. Haces un virus llamado paint.exe, y la mayoría de los antivirus ni lo examinan.
#1 se podria tiener una lista de md5 hechas cuando el ordenador estaba limpio o tener los genuinos del fabricante. Seria mas rapido compararlo con el md5 que hacerle un analisis virico y los programas no suelen cambiar a menudo.
Tambien seriviria para verificar que cosas que no deberian cambiar han cambiado, por ejemplo mp3 o multimedia que no se suele modificar. En principio solo tiene virus los ejecutables, pero el ejecutable podria tener guardado codigo otro archivo no ejecutable. Tambien un no ejecutable podria explotar alguna vuneravilidad del sofware que lo maneja y ejecutar algo.
Tambien podrian ponerse permisos para que los programas solo accedan a lo que les hace falta y no a todo lo del usuario.
No se como no hay ya antivirus programados por IA. Le das archivos infectados y no y que la IA aprenda. Lo malo son virus generados por IA, panico me da.
#3 md5 mejor no, se puede generar el mismo hash a partir de distintos archivos mediante un collision attack (y con un simple pentium 4)
ref:
https://en.wikipedia.org/wiki/MD5#Security
https://web.archive.org/web/20100327141611/http://th.informatik.uni-mannheim.de/people/lucks/HashCollisions/
https://en.wikipedia.org/wiki/Collision_attack
Suponiendo que se usase otra función de hash más segura también habría la posibilidad que el virus atacase directamente dónde estén almacenados los hash (b.d, directorio protegido, etc...) sustituyendolos con los nuevos hash de los archivos infectados.
Es complicado.
#4 Se podria firmar el archivo de hash para ver si está intacto. Aunque si la contraseña privada esta en el ordenador, podria usarla y si va con contraseña podria espiar cuando mete la contraseña.
#4 Con sha256 te evitas buena parte de ataques.
#3: Sí, aunque el MD5 creo que hoy te lo pwnean en poco tiempo.
Por eso en eMule añadieron el SHA1 junto con el MD4, y si por mi fuera añadiría alguno más moderno aún, que en
cabroRAM no ocupa mucho y se lo pondría más difícil a los que intentan meter contenido malicioso.#3 Eso ya existe... se llama File Integrity Monitor y no veas el lio que es cuando llegan las actualizaciones
#1 O mejor aún, haces un antivirus llamado Norton y se comporta como un virus: https://www.adslzone.net/noticias/seguridad/norton-crypto-antivirus-minado-ethereum/
No existe la posibilidad de saber de forma automática si un programa cualquiera dado una entrada cualquiera es malicioso o no. Está relacionado con el problema de la parada.
Y recalco lo de cualquiera, porque para un programa concreto sí es posible.
Por eso los antivirus son bastante ineficientes para la protección que brindan. Es mucho más útil adiestrar al personal que confiar ciegamente en un programa. Por definición un antivirus (un programa, un autómata, una máquina de Turing) es incapaz de decidir con certeza si otro programa cualquiera es malicioso.
Los detectores de intrusiones en el tráfico de red son más eficientes y también más difíciles de configurar.