Tal como les había prometido en mi último artículo sobre la implementación de un sistema de madurez en materia de seguridad informática para una PyME, voy a dejarles un último post sobre otra de las charlas que tuve la oportunidad de ver este año en Virus Bulletin.
Quiero mencionar algunos de los aspectos que más me llamaron la atención de la charla de Randy Abrams sobre algunos trucos y mitos en el uso de VirusTotal (de aquí en adelante, VT), uno de los servicios en línea para revisar archivos sospechosos más popular y, en muchas ocasiones, una herramienta interesante para cuando estamos haciendo alguna investigación sobre la propagación de una amenaza.
Primero voy a mencionar los tips que probablemente algunos usuarios desconozcan.
5 consejos para el uso de VirusTotal
Tip 1: Úsalo para buscar información de dominios web
Esta herramienta es ampliamente conocida como un servicio para escanear archivos sospechosos de ser maliciosos, por el hecho de contar con una batería de soluciones de seguridad. Sin embargo, hay muchos usuarios, incluyendo algunos profesionales de TI, que no saben que VT acepta como entrada direcciones IP y nombres de dominios.
Tip 2: Considera los envíos por correo electrónico
Si al momento de querer analizar un archivo no tienes mucha prisa, lo puedes enviar por correo electrónico a scan@virustotal.com. Este método de envío tiene una prioridad más baja de análisis, pero quizá te pueda resultar útil.
Tip 3: Inspecciona extensiones en navegadores web
La extensión VTZilla se puede utilizar en Firefox y con un simple clic derecho se facilitan las actividades para escanear un archivo o una URL. Los enlaces en correos electrónicos y relacionados con campañas de phishing también se pueden enviar a VT.
Tip 4: También hay VT en Android
Si bien es importante mencionar que esta aplicación no provee ningún tipo de protección en el dispositivo móvil, sí provee una interfaz para el envío de archivos y visualización de resultados.
Tip 5: Considera usar la API
Lo interesante de utilizar la API pública de VT es que al momento de enviar una muestra puedes obtener más información del análisis que simplemente enviándola a través de la página web.
VirusTotal empezó como un servicio en 2004 y ocho años después fue adquirido por Google. Pero su gran crecimiento y multiplicidad de usuarios han generado ciertos mitos alrededor del uso de esta herramienta.
Durante la charla fueron expuestos algunos de ellos, así que me pareció una oportunidad interesante replicarlos para aportar en el entendimiento de lo que permite hacer el servicio, y así sacarle el máximo provecho.
7 mitos sobre VirusTotal
Mito 1: VT puede ser usado para realizar pruebas comparativas
Es una mala idea utilizar la herramienta como un servicio para detectar si un archivo o una muestra es maliciosa. Hay que tener en cuenta que VT no fue concebido para hacer pruebas comparativas o de detección de amenazas, ya que para eso existen entidades especializadas.
Teniendo en cuenta que los servicios de los diferentes motores antivirus que corren en VT son las versiones bajo línea de comandos, no siempre tienen activas las mismas tecnologías que las soluciones que se instalan en los dispositivos de los usuarios.
Incluso en algunos casos, las heurísticas de los motores de las diferentes soluciones pueden estar modificadas y no ser iguales a la de los productos que el usuario tiene instalado. Así que si analizas un archivo malicioso y un determinado fabricante no lo detecta como tal, puede que el motivo tenga que ver con esto.
Algunos de los siguientes mitos están relacionados con el primero, sin embargo, por lo particular de cada uno vale la pena aclararlos.
Mito 2: La detección de malware en VT significa que el producto detecta el malware
VT muestra que un producto dice detectar una muestra, pero esto no significa que el escáner detectaría la amenaza si esta hubiera estado en el dispositivo del usuario.
Por una parte, mencionábamos el hecho de que las configuraciones de la heurística pueden ser diferentes, y además la detección también va a depender de cómo el usuario tenga configurado el producto en su propia máquina.
Mito 3: La ausencia de detección en VT significa que el archivo es seguro
No solo importa si el archivo es detectado o no; en VT hay alguna información adicional que nos puede dar más ideas acerca del comportamiento del archivo analizado. Además, recordemos que no se puede garantizar un 100% de efectividad cuando hablamos de la detección de códigos maliciosos.
Mito 4: La ausencia de detección en VT significa que el producto no lo detecta
En algunos casos podría ocurrir que por decisión del fabricante no se muestren algunas detecciones en VT, con el objetivo de no alertar a los creadores de malware de que la versión del producto instalada en los dispositivos de los usuarios podría detectar su amenaza.
También podría pasar que la detección de la amenaza como tal sea algo irrelevante, sencillamente porque otras tecnologías incluidas en las soluciones de seguridad prevengan la infección sin siquiera conocer la amenaza.
Mito 5: Falso positivo significa falso positivo
Para un usuario puede ser muy costoso que su solución de seguridad detecte falsos positivos. Por esta razón, los algoritmos de detección en VT pueden ser versiones de prueba de algunas nuevas heurísticas que estén en período de análisis antes de pasar a producción.
Mito 6: Más es mejor
El hecho de que muchos de los escáneres presentes en VT detecten una muestra como maliciosa no implica que sean muchos los usuarios protegidos. Esto se relaciona más con la participación en el mercado de cada solución de seguridad.
Además, no debemos perder de vista que en muchos casos las soluciones de seguridad completas que tienen instaladas los usuarios en sus dispositivos cuentan con tecnologías adicionales de protección, por lo cual podrían detectar la amenaza con otros componentes del producto y no solamente con el que se encuentra en VT.
Mito 7: Sitio malicioso significa sitio malicioso
Puede ocurrir que algún sitio legítimo sea comprometido y contenga exploits, aloje páginas de phishing o almacene malware. En todos estos casos el sitio puede ser detectado como malicioso, y una vez que este sea reparado puede pasar un tiempo hasta que los diferentes escáneres remuevan la detección.
Un último truco
El servicio de VirusTotal es mucho más que una herramienta para comparar si un producto detecta o no un archivo en particular, y de hecho vimos que no es una buena idea usarlo con este objetivo. Pero más allá de esto, nos arroja información interesante acerca del comportamiento de la amenaza, algunas URLs asociadas con la propagación e incluso otros archivos que pudieran ser similares.
Así que ya sabes, VirusTotal es un estupendo servicio… pero utilicémoslo como corresponde, teniendo en cuenta el uso para el cual fue diseñado y aprovechando las características adicionales que tiene.
Sigue leyendo: Una guía para los que se inician en Seguridad Informática
Créditos imagen: Besjunior/Shutterstock