Otra de las cosas que dejó Virus Bulletin 2010 son muchos papers, ya que cada presentación contaba con uno de ellos. En el caso de ESET, este año se hicieron dos presentaciones, aunque una de ellas no tuvo su correlato en oratoria ya que estuvo como charla de backup, con las cuales siempre se cuenta en el evento por si ocurre algún imprevisto con "las titulares". Como sabrán, los textos deben presentarse en inglés y aunque no publicamos contenidos en ese idioma con frecuencia, amerita en esta ocasión brindar la oportunidad a los lectores que puedan leer en este idioma la oportunidad de leer las investigaciones realizadas para Virus Bulletin. A continuación, les dejo los enlaces y un resumen de cada informe.
En primer lugar aparece AV Testing Exposed ("Exponiendo las evaluaciones antivirus"), por Peter Kosinár, Juraj Malcho, Richard Marko y David Harley. Algunos fragmentos del abstract:
Mientras el número de soluciones de seguridad disponibles en el mercado crece, se vuelve más necesario contar con evaluaciones que comparen sus capacidades de detección, pero a la vez se hace más dificil la utilización de las metodologías apropiadas para este fin. Buenas evaluaciones ayudan a los clientes a tomar decisiones más inofrmados, y ayudan a las compañías a mejorar sus aplicaciones. Pero, ¿quién se beneficia realmente cuando los fabricantes se preocupan por mejorar sus resultados en las evaluaciones en lugar de su eficiencia en al computadora?
[...] Examinamos (en mucho más detalle que análisis previos) típicos problemas como la selección de muestras inadecuada o un tamaño de muestra inadecuado, limitada diversidad de muestras o la inclusión de archivos corruptos o no maliciosos (falsos positivos), puesto en el contexto del escenario del malware en 2010.
[...] Mostraremos cómo numerosos errores en las metodologías pueden ser amplificados causando malas interpretaciones de los resultados.
El otro día les comentaba que la presentación de este paper fue una de las mas polémicas de Virus Bulletin, no sólo por su contenido, sino por la calidad con la que fue presentada por Peter, uno de sus autores.
En segundo lugar tenemos el paper Call of the WildList: Last Orders for WildCore-Based Testing?, escrito por David Harley de ESET, en conjunto con Andrew Lee de otra firma antivirus. Aquí fragmentos del resumen del paper:
Los problemas ya documentados con las evaluaciones basadas en la WildList provienen de las dificultades de adaptar esta al panorama de las amenazas del sigo XXI. El enfoque de la WildList Organization está basado en el malware auto-replicante, que hoy en día representa un bajo porcentaje del total de códigos maliciosos. [...] Algunos proveedores y organizaciones de evaluación han criticado fuertemente a este tipo de evaluaciones - incluso algunos vendedores se han retirado de las pruebas que se basan en gran medida en esta lista.
De acuerdo con la preferencia de AMTSO por las evaluaciones dinámicas por sobre las estáticas, las organizaciones evaluadores, en su mayoría, han sustituido las pruebas basadas en la WildList con algún tipo de metodología dinámica, la cual de realizarse correctamente, supone un mejor reflejo de la experiencia del usuario. Entonces, ¿las pruebas basadas en la WildList todavía tienen lugar? ¿Sigue siendo un diferenciador significativo? Si no es así, ¿significa que la validación de la muestras ya no se considera un objetivo práctico de los evaluadores, o se trata de una mala interpretación de las directrices AMTSO en la prueba dinámica?
Este documento resume el debate entre evaluaciones estáticas y dinámicas, y analiza la pertinencia actual de la WildList y la WildCore.
Para aquellos amantes de los documentos técnicos y la seguridad, y especialmente aquellos interesados por cuestiones de la industria antivirus, y no sólo del mundo de las amenazas, sin duda encontrarán en ambos textos documentos de lectura muy amena y contenidos muy apropiados para seguir aprendiendo. ¡Que los disfruten!
Sebastián Bortnik
Coordinador de Awareness & Research
