Guerra de software

Bueno compañeros. Este es un nuevo foro y por eso abriré el tema favorito de todos.

La guerra de software. En este tema tiene como finalidad comparar o en listar información útil sobre las tecnologías o características que tengan los softwares con la finalidad de encontrar la mejor tecnología para cada usuario , simplemente por que no existe software perfecto.

Las reglas son sencillas:

• No es necesario buscar o mencionar un aspecto técnico o conocimientos avanzados.
• Se debe tratar de buscar una justificación coherente y lógica, en vez de una emocional. Pero se pueden usar de ejemplo o situacional.
• Todo usuario puede participar.
• Cualquier producto se puede incorporara (software o hardware)

Bueno me alegro iniciarlo con un clásico … Los mencionados antivirus de nueva generación XD.

Como saben de manera personal existen varias tecnologías que se consideran nueva generación según la industria y el producto. Ya que muchas de esta tecnología ya existían en el pasado o ya lo usaban productos en el pasado. En mi caso la línea de tiempo seria.

• 1- Firmas especificas
• 2- Firmas genéricas.
• 3- Módulos de comportamientos.
• 4- Nube
• 5- Inteligencia artificial.
• 6- Denegación por defecto gracias a su clasificación por la 5 ( seria la actual).
• 7- Aun no se conoce.

Algunos productos que se publicitan como nueva generación son Panda domo , Heimdal,Max AI , malwarebytes …

Para mí solo Panda domo cumple la condición de nueva generación ( aunque la tecnología de denegación ya la tenía comodo desde hace 10 años y Avast hace algunas versiones ( hard mode))

heimdal es solo un modulo de comportamiento y generación de vulnerabilidades para detectarla algo que ya contiene otros software pero es lo más interesante que tiene , malwarebytes solo tiene hasta la generación 3 pero si están bien optimizadas y funciona bastante bien.

Estamos ya asistiendo a un momento de cambio confirmado. Casi todos los productos de punta que usan el EDR ( EndPoint Detection and Response). Más allá de que las tecnologías de firmas van a seguir siendo usadas, hoy en día la vangauardia pasa por el sistema de alerta temprana y el comportamiento. Pero en sí, hay una visión integral de capas de seguridad. Cada antivirus tiene varias de esas capas ya integradas y funcionando en un mismo producto. Quizá cuando hablamos de antivirus sin firmas se nos venga a la cabeza el Maravilloso KATANA de DR web… o Webroot SecureAnywhere, pero si apagáramos los componentes de los antivirus de punta dejando el escudo de comportamiento, tendríamos resultados similares.

El asunto es que cada día nacen 315.000 nuevos códigos maliciosos, según datos estadísticos. Y no es fácil catalogar todo eso. Para favor de las técnicas de comportamiento, cualquier malware, independiente de su tipo, su funcionamiento está ligado a un pequeño conjunto de técnicas de núcleo que cambian con poca frecuencia.

El problema de esos sistemas es que son poco confiables … Muchas veces son muy sensibles o poco sensibles , por eso ahora muchos AV e la actualidad confían demasiado en las firmas de los programas o en sus listas de programas con tal de evitar los falsos positivos.

El otro punto es que muchas veces es necesario que el malware ejecute sus acciones para poder detectarlo , por su puesto que se hace un seguimiento y al detectarlo los cambios se eliminan pero esta capacidad tiene un limite… Un ejemplo puede ser cuando salieron los ransoware a gran medida , muchos AV los detectaban correctamente pero ya se habían encriptado unos cuantos archivos permanentemente,

Recordemos que los antivirus sin firmas aun deben actualizarse para mantenerse operativos y efectivos … Modificando sus detectores de conductas y sensores , por ende es como si tuvieran firmas pero enfocado en otro punto.

Este pensamiento y tecnologías son antiguas pero aun siguen siendo efectivas.

Aquí apuntamos al futuro

Entonces no estamos hablando, de que son AV de nueva generación por lo que explicas entiendo que no es nada nuevo, salvo la IA, que de mi parte sin tener mucho conocimeinto sobre esto, entiendo que es un aprendizaje de cuales son los patrones de las amanazas o no, ¿pero esto no vendría a ser igual que el módulo de comportamiento? Que diferencia tiene o cual es el aporte

Mas o menos lo que dice Aprenderás , pero si me equicovo corregidme.

No creen que lo más efectivo sería la denegación de programas no firmados y verificados como seguro, claro que obviando los huecos de seguridad y/o ataques. Y sobre esto, a parte de Comodo que lo bloquea aboslutamente todo, ¿alguna recomendación Anti ranomware?

Hola osdre XD. bienvenido . Recuerda que no tenemos la ultima palabra en nada acá así que puedes opinar sin inconvenientes, ya que por ejemplo yo he aprendido por mi cuenta y también puedo equivocarme. Te contestare sin inconvenientes pero no se como se sita aca t.t

Cita Osdre Entonces no estamos hablando, de que son AV de nueva generación por lo que explicas entiendo que no es nada nuevo, salvo la IA, que de mi parte sin tener mucho conocimeinto sobre esto,

Bueno para mi solo es marketing lo denominado nueva generación , ya que mucha son tecnologías antiguas que no eran populares o muy usadas por una gran variedad de inconvenientes, pero que ya existían productos con estas

Cita Osdre entiendo que es un aprendizaje de cuales son los patrones de las amanazas o no, ¿pero esto no vendría a ser igual que el módulo de comportamiento? Que diferencia tiene o cual es el aporte

Son muy similares y muy distintas . Los modulos de comportamiento son construidos a base de paramento ya establecidos con los cuales ( explicare de forma básica ) establece puntuación de peligrosidad o identificación de malware. EJ: Ransoware : estos buscan imagene y las encriptan con extensiones poco conocidas. Por ende si un malware realiza esta acción a 1 archivo y no esta certificado se establece como ransoware, pero si la encriptacion la realiza con una extensión como RAR no lo clasifica como malware y lo dejaría actuar. Las IA es lo mismo pero a diferencia estas solo buscan clasificar y no detener , realizan el trabajo de los investigadores y necesitan computadoras especiales y mas potentes … Analizan el trabajo de un programa y buscan parametros similares entre ellas y son capaces de agregar nuevos parametros …Ej anterior… La IA determina que esos archivos no son JPG u otra de imagenes y buscara abrirlas al no poder abrirlas lo clasifica como malware …

La inconveniente aca es que hay que programar parámetros simples y amplios para que la IA pueda tener toda la información que necesita . Tambien como genera sus propios algoritmos , necesitan un gran numero de muestras … Es facil entenderla por ejemplo viendo al tipo que construyo una IA para jugar mario bros donde la IA murió como 1300 veces para aprender a jugar decentemente.

En otras palabras la IA es una herramienta de clasificación y no de detección.

Uf, tamos muy minuciosos. Pero la verdad que el sistema de firmas sería lo más seguro del mundo si fuera posible catalogar a todos los malwares en un instante.

Pensar que en muchos casos, hace años, no hacía falta ni cambiar las cabeceras del virus para evitar la detección. Era algo así como cambiar el nombre y listo, ya tenías un virus nuevo… que no incorporaba nada nuevo.

Es decir, no garantizaban super seguridad, En el esquema actual, por sí solas, son falibles . Por ello se habla de capas. De acumular escudos.

Cita Osdre entiendo que es un aprendizaje de cuáles son los patrones de las amenazas o no, ¿pero esto no vendría a ser igual que el módulo de comportamiento? Que diferencia tiene o cual es el aporte

Sí, no, No, sí.

La mayoría de las veces la I.A. es un simple e infinito catálogo de amenazas y software legítimo… y la I.A. ordena toda esa data para dar respuestas inmediatas a las consultas de los distintos terminales (tu compu, por ejemplo es una terminal).

El escudo de comportamiento, es justamente eso. Hay un montón de procedimientos que ni bien se activan, ponen en guardia a los escudos. Por ejemplo, un ramsomware construido rudimentariamente a base de un script que buscara todos los archivos de texto de la carpeta de Mis Documentos y ordenara al motor de winrar encriptarlos a todos con una contraseña, pondría en guardia al escudo de comportamiento de Avast,

Por eso los escudos de comportamientos son tan efectivos contra el ransomware. Y de esa manera hay miles de procedimientos que serían bloqueados. Una inyección de código extraño, un intento externo de lectura en un bloque de la ram, o si tu cliente de correo inicia un intérprete javascript conectándose a Internet etc, etc

Perooooooooo Lo que tienen los escudos de comportamiento, es un alto índice de falsos positivos jajajajajajajajaja

Por su parte, Avast, minimizó esto con la I.A. … en 1 segundo manda respuestas de si se trata de un falso positivo. Nosotros ni nos enteramos. ¿Te das cuenta como ambas tecnologías son dependientes?

Se me olvido lo del ransoware XD … aunque aprenderas lo menciono pero cualquier anti malware con un modulo de comportamiento decente debería bastar … Los sistemas anti ransoware de pago son por lo general sistemas de denegación… También existe la heuritica la cual busca detectar malware anticiparse a su comportamiento ( pd: estos en general son capaces de detectar como un rango de 40 al 80 % de malware nuevos)

Creo que Osdre tiene confusión de un sistema de denegación por defecto a uno de denegación por lista negra…

Funcionan similar pero no es lo mismo.Pondré un ejemplo de una casa donde entrar a la casa es permitir su ejecución. Un guardia seria tu AV. … Los archivos serian personas que piden entrar a tu casa.

Denegación por lista negra : Este seria el tradicional ya que lo ocupan la mayoría de antivirus. … El guardia tiene una lista con nombres de maleantes y características de bandas locales ( ej tatuajes u otros) { aquí representamos las firmas especificas y heuritica} , Esta lista siempre esta actualizada con la central ( nube y actualizaciones comunes) .

El guardia dejaria pasar a todas las personas siempre que tengan carta de recomendación de alguien de confianza he importante ( certificados ) y siempre que no este en la lista que este tiene. En otras palabras si alguien no esta en la lista puede pasar sin problemas. El guardia tiene instrucciones de vigilar a la gente adentro por si hace destrozos echarla y ponerla en la lista ( motor de comportamiento) , aunque esto puede provocar daños a la casa.

Denegación por defecto : El guardia tiene una lista de personas que se le permite la pasada a tu casa .Esta lista puede ser creada por el dueño de la casa o un tercero.

Tiene la instrucción de no dejar pasar a nadie que no tenga carta de recomendación de alguien importante y de confianza ( certificado ) o que no este en la lista.

En otras palabras el guardia no dejara pasar a nadie sin importar como este vestido o quien sea siempre que no cumpla esos requisitos.

• Este tipo es mas seguro y es usado normalmente por empresas donde el centro informático es quien genera la lista de programas permitidos.
• Lo malo es que nadie puede entrar y si invitas a alguien estas obligado a ponerlo en la lista para que entre sin problemas… Por esto es que algunas empresas combinan tecnologias como multi motor (secure aplus ) , lista blanca propia o generada por IA ( comodo firewall y comodo cloud) con la finalidad de generar una lista blanca lo mas permisiva y segura que se pueda…

javifelices

1d Lo encuentro liviano, en lo personal lo veo más que bien, es verdad que cuando busqué información vi que hace un tiempo, relativo, que no hay nada nuevo, aun así, lo llevo usando tiempo y no lo noto para nada. Yo uso defender, aunque estoy pillando para probar algunas herramientas que habéis comentado, tengo alguna MV para hacer algunas pruebas y ver como tira por si lo paso a “producción”. Un saludo.

Ese texto pertenece a un tal @Javifelices, y sale de una charla con @Osdre. Está bueno porque tiene algo que ver en todo esto. ¿Por qué Antiransom sigue vigente tras año y más tiempo sin novedades? Porque el engine se basa en un esquema de vigilancia sobre un determinado grupo de archivos. Un cebo. Es como un mini escudo de comportamiento enfocado en esas cuestiones. Y ante la eventualidad de que detecte un cambio, el programa intenta identificar el proceso responsable y detenerlo buscando en la memoria el proceso de volcado asociado. ¿Se dan cuenta de que este software, si se basara en firmas exclusivamente, hoy no serviría de nada, tras 1 año sin actualizaciones? Después, lo de liviano/pesado es discutible. En un equipo nuevo va ser insignificante el consumo de procesos, pero en un equipo viejo yo no me gastaría ese 10% de recursos que utiliza (los memoriosos recordarán que lo probé mucho en el viejo foro).

Klaken dice: Los sistemas anti ransoware de pago son por lo general sistemas de denegación…

Si, pero no te olvides que por ejemplo Trend Micro tiene su aplicación Antiransom gratis que no es otra cosa que un gran sistema de denegación.

Hola a todos, el tema ciertamente de los Antivirus es ciertamente muy interesantes… pero veo que estamos cayendo en las “terminologías de marketing” aplicadas por cada marca u empresa a su producto, en donde por el mismo nombre no directamente es lo mismo y por diferente no directamente es distinto o mezclando soluciones en lo que se ofrece para empresas con lo que hay para el consumo u usuarios de hogar.

Next-Gen AV (NGAV) - Antivirus de Segunda Generación.

Hace unos años, había una diferencia demostrable entre los enfoques utilizados por las los AV “tradicionales” y los NGAV. Las soluciones predominantes se basaron principalmente en la detección basada en firmas y heurísticas, mientras que los NGAV desarrollaron enfoques para identificar el malware que se basaba principalmente en los algoritmos de aprendizaje automático (Machine Learning) basados ​​en Inteligencia Artificial. Sin embargo, en el mercado actual, lo “tradicional” expandió sus soluciones para incorporar diferentes enfoques para detectar el malware y empleó inteligencia artificial de varias maneras para seguir siendo efectivo. Gran parte de la funcionalidad que una vez se consideró “próxima generación”, está presente como una parte básica de cualquier oferta de AV.

Por lo tanto, la “brecha generacional” de AV se está cerrando, si no está ya cerrada y dada la evolución tendrían que llamarse “Anti-Malwares”… pero para la mercadotecnia, ese nombre no identificaba claramente lo que pretendían en un producto al obviamente ser mas popular el termino virus que malware.

Y por otro lado, recordemos que también los creadores de malware van evolucionando sus creaciones, poniéndolas a pruebas contra las nuevas tecnologías de defensa e intentando eludir estas… para que continué el "juego entre el gato y el ratón"

Salu2

PD//Recuerden que para hacer mas fácil la lectura de sus respuestas citando otros mensajes, es muy sencillo y solamente tienen que seleccionar el texto y pulsar el citar: ver mas en las FAQs.

Gracias @Klaken y @Aprenderas vuestras explicaciones me han recordado algunos conceptos olvidados y dejando otros más claros.

Si estuve revisando un poco en la net y me di cuenta que por el funcionamiento sigue siendo válido estos tiempos, estas tecnología anti ransomware sería lo que más puede la atención al usuario doméstico a mi parecer, ahora justamente con tu comentairo recuerdo que no era tan liviano, no es malo pero quziás hay mejores opciones. En comparación veo que la Portección contra ransomware de Defender es practicamente un sistema de denegación por defecto, el único peor que le veo que programas firmados incluso por Microsoft no los deja operar y peor al actualizarce o tratar de eliminar algun sin antes agregarlo en la lista de programa aprobado da algo de molestias. Lo que me lleva a preguntar, ¿que tal funciona el que mencionas?

Gracias también a @Marcelo por su opinión con la cual concuerdo todo esto es más marketing y lo entiendo ya que actualmente existe una gran carrera armamentista en el mundo de la seguridad pero que no eestá enfocado a los usuarios comunes, de lo contrario con tantos huecos de seguridad revelados estos años estaríamos enterrando nuestos equipos.

Funciona tan bien como es de esperarse. Es un sistema de denegación. Listo, punto, no ofrece nada más. Pero cumple a rajatabla. En eso es perfecto. Es un software que no veo que Trend Micro lo publicite demasiado. Fue actualizado en Mayo. Tiene una interfaz muy clara y bella, Puedes crear listas blancas para darle acceso a los archivos protegidos al programa que quieras para que pueda modificarlos.

Screenshot_2018-10-24%20Ransom%20Buster817×441 78.5 KB

Lo de inteligente es mentira. Permite actuar a las aplicaciones que ya trae precargadas en una lista blanca… entre ellas las de Microsoft. Pero ya te digo, querés denegar, ahí tenés un software que hace eso.

me intereso mucha la explicación\explicación que nos diste

quiero ver si entendi bien, en otras palabras los antivirus (la mayoría) utilizan muchas tecnologias (como las de firmas, nube, comportamiento) para detectar virus??

sacto es simple y ya esta (no por eso significa que sea malo), tiene mucho marketing que trata de mostrar mas de lo que ofrece

hablo un poco del ramsomware, acaso no es mas efectivo a las carpetas que quieras proteger quitarle todos los permisos de modificación? o nose ponerle para que te pida contraseña de administrador…

existe algo que ofrezca el mismo windows para cuidarse del ramsom?

Máquina, Qué buena pregunta. El mismo UAC de windows (Control de cuentas de usuario) podría detener la ejecución de algunos encriptadores. Lo de los permisos es un bodrio. Hay distintos niveles. Si el virus tiene permisos de system los va encriptar. Y aparte no deja de ser molesto tener que dar y quitar permisos a cada rato. En una época cuando todo esto era nuevo y no percibía la publicidad alarmista yo andaba temeroso de infectarme, porque siempre me meto en todo tipo de web atacantes, así que inventé una forma muy efectiva de cuidarme. Guardé en una carpeta los archivos que me dolería perder. La comprimí con una contraseña débil. Pero luego cambié la extensión del archivo. De repente mi archivo en lugar de llamarse Cosas.rar se llamaba cosas.uyryetyer4 y claro que ningún virus encriptaba extensiones que no existían. Otra opción podría ser ponerle una extensión del sistema como .bin .etl .cat .mui etc, etc etc ningún encriptador va tocar eso porque sino el sistema no arrancaría. Luego cuando necesitaba mis archivos, cambiaba la extensión a .rar y ya los tenía. Pero ya después comencé a ver que prestando ateción y teniendo avast actualizado los frenaba fácilmente a todos, así que ya no tomé más medidas. Sin embargo. hay que decir que al fin y al cabo las copias de seguridad son la mejor garantía.

Esto que indicas es lo que parece que hace la protección de Defender, realmente dice protección de carpetas, así que a pesar que uses una cuenta de administador te pedirá que otorgues permiso cada vez que quieras eliminar un archivo, para que cualquier programa funcione debes agregar sus ejecutables o algún otro archivo incluso con Office ya que no te deja ni abrir el programa si no lo has agregado a su lista, como dice @Aprenderases un fastidio.

¿es decir que a pesar de cualquier escudo los a infectar, si estoy empleando la cuenta de adminstrador?

No, Para nada. En el caso que hablábamos con @NasusDragnel no existía ningún escudo. Yo hablaba de las restricciones que podés poner desde las propiedades de un archivo manualmente, o desde la línea de comados, que como mucho son permisos de administrador. El tipo de es escudo de denegación como el que vos hablás, es muy seguro. No temas.

yo la verdad es que no tengo algo de suma importancia en mi pc :v asi que si un dia me encriptan algo descargo un destructor de archivos y en modo seguro Destruyo sin piedad la carpeta

estamos dando opiniones pero estaria bueno que nos diga alguien que sepa mas que nosotros 3 si hay algo que se pueda hacer con el mismo windows (ya sea cambiar la extension o los permisos…)

Si, básicamente todos protegen de lo mismo, con diferentes maneras o diferentes nombres para la misma tecnología.

En cuanto al ransomware y su protección… la mejor manera de conservar la data realmente importante es realizar copias de seguridad. En la actualidad los discos duros externos son muy económicos y de gran capacidad o los servicios en la nube brindan muchos GBs gratuitos… por lo que no hay excusa para guardar ahí lo importante.

Luego si bien en un principio al igual que con otras familias de malwares, los Antivirus no eran capaces de detenerlos… ya eso se ha mejorado y ahora prácticamente todos pueden detener estos de diferentes maneras.

Hay algunos Anti-Ransom por separado para quienes quieran una protección extra y acá si usan muy diferentes tecnologías de detección. La mayoría se basa aun en firmas o cebos… estos son los más digamos "rudimentarios" y necesitan o bien actualizarse o fácilmente saltado por algunos ransomwares que ya conocen sus mecanismos de detección.

Luego están los otros Anti-Ransomware que utilizan heurísticas avanzadas de comportamiento que detectan el momento que un archivo se comienza a cifrar y son capaces de interceptar el proceso, detenerlo y eliminarlo. También se pueden utilizar cebos para que en caso de que suceda, los primeros en cifrarse sean los cebos y no un archivo real.

Lo de cambiar extensiones no es una buena idea ya que no todo el ranosmware está construido profesionalmente y ha habido algunos que hasta se cifran a ellos mismos por error y que nos haría perder nuestros datos. La nueva función de Win10 de bloqueo de carpetas, ya fue saltado en varias pruebas, por lo que es más de lo mismo, poner todos los huevos en la misma canasta nunca es buena idea.

Salu2

Yo cuando me enfocaba en marketing es que muchas empresas se autodenominan NGAV a soluciones que no presentan una nueva tecnología que recién se esta presentando a gran nivel o un enfoques que no eran el estándar actual por su gran cantidad de contras que presentaban.

El enfoque actual del NEXT GEN

Se usaba la inteligencia artificial para de detección de amenazas de forma temprana … Pero he observado que cada ves mas soluciones buscan un cambio de enfoque … En donde se realiza denegación por defecto o limitaciones a los programas hasta que la inteligencia artificial determina que el programa o archivo no es peligroso.

Esto es parecido a las soluciones empresariales donde en este caso es la IA que determina que archivo es seguro … Panda, Forticlient ,Avast , Comodo , Immunet … Se le puede aplicar un enfoque similar pero avast, es donde se aplica o se puede aplicar de forma mas radical…

La principal ventaja es limita inmediatamente los malware de día 0 y permite que los programas mas comunes por el usuario funciones sin dilemas… En otras palabras en ves de registrar malware se registras godware.

Sobre los ransoware Estoy de acuerdo con Marcelo , Se han visto malware saltarse la denegación a carpetas especificas pero también a los sistemas de comportamiento entre otros. De echo usar señuelos o denegar carpetas no asegura que esos archivos estén seguros o que tu pc este seguro . Ya que aun tiene bastante espacio en los demás archivos para encriptar y tomar el control.

Es cierto lo más seguro es respaldar todo en un disco externo, lo tenía por costumbre pero por momentos se vuelve tedioso. Me gusta la sinceridad sobre la protección de Defender, y como también aporta @Klaken no confiaré mucho en los antiransomware, iré a buscar mi disco de respaldo ahora

podrian comentarme sus opiniones respecto al navegadrode avast y el brave

los dos tienen esa filosofia de “segjridad” que opinan? lo usaron? es rapido? visualmente?