• Tweet

Kaspersky Lab ha defendido su manejo de un controvertido experimento criticado por algunos como un ejercicio de marketing de valor técnico cuestionable.

La firma de antivirus rusa creó 20 inocentes archivos ejecutables, agregando falsas detecciones de malware para diez de la muestra, antes de cargar los archivos en línea de escaneo del servicio de malware de VirusTotal. VirusTotal rutinariamente distribuye muestras de archivos sospechosos sometidos al servicio, que proporciona una herramienta útil para los profesionales de seguridad para identificar las cepas de malware, a otros proveedores.

Diez días después, Kaspersky informó, que otros 14 proveedores habían añadido la detección de los archivos que estuvieran deliberadamente

(y falsamente) etiquetados como malignos.

Algunos representantes de proveedores de seguridad, sin duda, los que hablamos en un evento en Madrid la semana pasada, acusaron a Kaspersky de intentar sugerir otros proveedores que estaban copiando sus detecciones de malware sin aplicar nada de controles rigurosos, al menos en algunos casos. Kaspersky dio a conocer sus conclusiones a los periodistas que asistieron a sus laboratorios de Moscú en lugar de ir a una conferencia de seguridad o por medio de revisión de frente, alimentando aún más el sentimiento negativo sobre el experimento.

VirusTotal, que está dirigida por la empresa española de pruebas de penetración Hispasec Sistemas, acusó a Kaspersky de abusar de sus servicios. Las acciones de Kaspersky particularmente molestaron a VirusTotal debido a que disgustó en el pasado, fue acusado de dirigir un servicio que fue mal utilizado por los autores de virus con el fin de comprobar si sus creaciones podían evadir a la detección.

Magnus Kalkuhl, el analista de virus de Kaspersky, que corrió la prueba, dijo que éstas críticas estan fuera de lugar: "El objetivo no era mostrar los problemas con VirusTotal o AV [vendedores de anti-virus], pero el que los proveedores AV detectaran una muestra no garantiza automáticamente que sea malware - simplemente porque los falsos positivos pueden ocurrir, y se duplican con rapidez ", dijo a El Kalkuhl reg.

El Blog de Kaspersky es claro en que su experimento no tenía la intención de desacreditar a ninguna firma antivirus, pero si para destacar el "efecto negativo de la electricidad estática en las pruebas de la demanda" y los peligros potenciales del uso de varios escáneres como una forma de detecciones de malware de abanderamiento.

"He recibido comentarios de personas que estaban enfocados en la cuestión del porque otras compañías de antivirus quieren detectar archivos limpios que hemos subido. Y yo sólo puedo repetir lo que hice en el blog: esto podría habernospasado a nosotros también", Kalkuhl explicó.

"Así que, si alguien ha visto ésto como un truco de relaciones públicas, no es lo que se pretendía", añadió.

Los laboratorios de antivirus rutinariamente se enfrentan a 50.000 muestras de malware al día. Es, pues, inevitable que los laboratorios pongan cierta dependencia en la "reputación de origen y de múltiples análisis" en lugar de validación manual, por lo menos como un recurso provisional, la empresa de seguridad en red Eset argumenta. Esto esta está en desacuerdo con la conclusión de Kaspersky que dice que las pruebas dinámicas resolverán el problema.

Las pruebas estáticas sólo examinan si una muestra potencialmente maligna es reconocida por su firma, mientras que en la prueba dinámica depende de la eficacia de probar toda la cadena de componentes de detección en los modernos antivirus (basado en nube, basado en comportamiento) y en el etiquetado de malware.

David Harley, director de inteligencia de malware en Eset, explica que el uso de escáneres en lugar de análisis para validar las muestras es una mala práctica. Sin embargo, criticó las tácticas de Kaspersky por llamar la atención sobre problemas admitidos.

"Creo que la mayoría de nosotros en la industria comprendemos y simpatizamos con el punto sobre el multi escaneo como (pobre) sustituto de la validación de la muestra, dando lugar a falsos positivos que caen en cascada a través de AV y pruebas industrias", dijo Harley. "Aunque no puedo decir del todo la forma en que se hizo (a pesar de que nuestro laboratorio no cayó en la trampa) sin duda va a elevar un grito de júbilo por Kaspersky si podemos volver a centrarnos en ese problema, en lugar de estar sobre el "quien copia a quien" y Virus Total. "

Los vendedores compartieron muestras de malware de múltiples maneras por lo que habría sido mucho mejor si hubiera una ruta que no sea VirusTotal - "chicos buenos que fueron engañados con bastante frecuencia" - habían sido utilizado en el experimento, Harley agregó.