|
Alan (conductor de LTC):
Justo cuando pensaba que estaba protegido contra todo tipo de
virus, aparece algo llamado ‘Rootkits’. ¿De
qué se trata? ¿Y por qué son tan peligrosos?
Andrew, los ‘Rootkits’ parecen estar en todas
las noticias. ¿Qué es exactamente un Rootkit y de
qué forma representa una amenaza para nosotros?
Andrew Lee:
La definición se ha ido modificando. Hace un tiempo, los Rootkits eran
un grupo de programas utilitarios usados para obtener acceso al usuario
más potente en el sistema Unix. En este sistema, el administrador,
la cuenta con más privilegios se denomina raíz (root), de
ahí el nombre Rootkits.
Hoy en día lo que la gente ve en las noticias y en la prensa,
son en realidad los Rootkits de Windows.
Y el término hace referencia a un sistema o programa utilitario que
se usa para ocultar procesos o archivos del sistema operativo, de forma
tal que no sean fáciles de descubrir.
Alan:
Es decir, existen programas utilitarios que pueden encontrar
prácticamente cualquier tipo de archivo oculto, sin importar que
atributos tenga. ¿Pero usted me dice que debido a la forma en que
los
Rootkits se ocultan, estos utilitarios no los encontrarán?
Andrew Lee:
Estos utilitarios utilizan diversas formas para encontrar elementos en
el sistema. Por ejemplo, si usted utiliza el Explorador de
Windows para buscar archivos, solamente le dirá lo que Windows conoce
acerca del producto.
Si cuenta con un utilitario que le permita buscar archivos, solamente
podrá ver los elementos que el mismo Windows puede ver. Y la manera
más común en que los usuarios buscan algo, por ejemplo un
proceso donde piensan que algo funciona mal, es presionando las teclas Ctrl
+ Alt + Delete.
De esta forma, aparecerá el administrador de tareas que mostrará una
lista de los procesos que se estén ejecutando en el sistema. Estos Rootkits,
básicamente, le permiten ocultarse de esos sistemas, de forma tal
que los administradores de tareas como el Explorador en cualquier
sistema no puedan ver los archivos o procesos que ese Rootkit está ejecutando.
Alan:
Esto suena peligroso. Si alguien puede ocultar un archivo en
algún lugar de mi sistema, eso significa que cualquier persona
que desarrolle un virus malicioso puede colocarlo, de alguna forma, y
una vez allí, no lo puedo quitar.
Andrew Lee:
Sí, es cierto. Los Rootkits se
utilizan con esos fines. En realidad, hemos visto diversos virus que incluyen
la tecnología Rootkit. Es importante tener
en cuenta que los Rootkits en sí no
son en realidad maliciosos.
No tienen porque ser maliciosos, simplemente son utilizados para ocultar
elementos, por ejemplo, el mismo Explorador de Windows.
Allí, se
puede elegir una opción denominada ocultar archivos del sistema.
Ahora bien, esta es una buena opción si está preocupado
de que los usuarios borren elementos importantes. Existen personas que tienen
una tendencia, especialmente en los días en que el espacio en disco
era costoso, de buscar archivos grandes y decir: No lo necesito entonces
lo borro.
Se descubrió que estos usuarios podían generar un problema
al sistema. Pero lo que Windows permite hacer, de manera predeterminada,
es desactivar el acceso a los archivos del sistema realmente importantes.
Es decir, básicamente ocultarlos de ustedes como usuarios.
Por lo tanto, los Rootkits pueden
aprovechar esta posibilidad y marcar el archivo como archivo de sistema.
Este tipo de Rootkits es, en cierta forma,
sofisticado y esa es realmente una manera sencilla de ocultarlo.
Estos Rootkits se esconden también
del Explorador de Windows en sí. Le permiten al virus, o
a los archivos que contengan cualquier código malicioso, ya sea que
se trate de un programa espía o un gusano, permanecer oculto.
Alan:
Entonces, básicamente, actúa como un filtro. Es como un filtro
a nivel de subdirectorios que le dice al sistema operativo: si alguien busca
este subdirectorio, miente y dile que no está allí.
Andrew Lee:
Esa es una forma de hacerlo. En realidad existen diversos tipos de Rootkits que
se encuentran en ciertos archivos en áreas donde el sistema utilizará diferentes
trucos. Existen dos grupos principales de Rootkits.
Uno se denomina persistente (lo que significa que vuelven a activarse
cada vez que reinicia su ordenador). Y después están los Rootkits que
no son persistentes y existen solamente en memoria. El segundo tipo es útil
para un desarrollador de virus que debe ocultarlo cada vez que enciende
el ordenador.
Pero, son geniales para un pirata que simplemente quiere comprometer un
ordenador y piratearlo o utilizarlo para instalar un Rootkit,
que se encuentre solamente en la memoria del equipo. Por lo tanto, no hay
archivos que en realidad estén atacando el disco y pueden ser muy
difíciles de encontrar. Pero los más comunes, los que se ven
con más frecuencia, son los más persistentes, los que permanecen
en el disco o, de alguna forma, se escriben en éste.
Y dentro de este tipo de Rootkits existen
algunos subtipos. Uno de ellos se denomina, Rootkits de
modo usuario, y el otro se denomina Rootkits
de modo Kernel. El Kernel es, en realidad, el núcleo de su
sistema operativo, lo que toma y maneja todas las instrucciones
y brinda todos los datos y resultados al sistema operativo, al procesador,
entre otros.
Alan:
Esto suena muy sofisticado.
Vimos a SONY utilizar este procedimiento para proteger su música con
derechos de autor. ¿Es así?
Andrew Lee:
Uno de los casos más documentados es el de un grupo musical de
Sony que de hecho lanzaba discos compactos con un Rootkit incluido.
Ese Rootkit no era específicamente
malicioso o invasivo. En realidad, no trataba de hacer nada malicioso. Pero
el problema fue que alguien se dio cuenta que esto estaba sucediendo y lo
aprovechó para crear un troyano que lo utilizaba para ocultarse.
Lo que hacía era ocultar archivos con un nombre específico
o un nombre con un comienzo específico. Sin embargo, lo que el troyano
trató de hacer fue crear un nombre para el troyano que fuera muy
similar para que el sistema lo ocultase. En realidad no se trataba de un Rootkit sofisticado.
Existen algunos, particularmente del tipo modo Kernel, que se ocultan
muy bien y, en realidad, debido a eso tuvimos que actualizar
el programa y volver a escribir partes de éste, porque no habíamos
tenido en cuenta este tipo de amenazas.
Alan:
Existen configuraciones en el registro que nosotros, como usuarios,
no podemos acceder y no podemos ni siquiera ver. Y existen ciertas configuraciones
allí que podemos ver, pero que no tenemos permiso para modificar.
Andrew Lee:
En muchos casos, particularmente cuando se relacionan con servicios en
el ordenador, existe una muy buena razón por la que no se debe modificar
o eliminar elementos en el registro. Existe, en realidad, un Rootkit que aprovecha el hecho que se pueda realizar esto y oculta,
no solamente sus archivos, sino todas las entradas del registro y todos
los servicios que se ejecutan, así como también los procesos.
Esto hace que el Rootkit sea difícil
de ver. Realmente la única forma de verlo es tener un programa especial
o programa antivirus que puede analizar esta parte del Rootkit.
Alan:
Esto se está tornando tan peligroso que están analizando la
posibilidad de crear un proyecto de ley en el congreso para declarar ilegales
a los Rootkits.
Andrew Lee:
Existe mucho miedo e incertidumbre con todo lo relacionado con Rootkits.
Realmente es un tema muy serio. Creo que como con cualquier otra amenaza,
cuando su potencial de daño se hace realidad, al principio todo el
mundo se preocupa por el tema.
Pero, en realidad, no es diferente a muchas otras amenazas que ya hemos
tenido. Estas amenazas han sucedido muchas veces en el pasado, y se ha modificado
la forma en que son entregadas.
Por ejemplo, miremos al año 1995, cuando apareció por primera
vez el concepto de macro virus. Era algo importante, se trataba de macro
virus, y, sin embargo, se convirtieron en algo cotidiano. Pero lo que sucede
es que las personas actualizan las defensas que utilizan para proteger sus
sistemas. Sí, es una mala idea utilizar tecnologías Rootkit para la gestión de derechos digitales o algo similar.
No es el fin del mundo en términos de seguridad. Creo que lo malo
es que las personas se preocupan demasiado por todas las amenazas que existen.
Lo cierto es que si se protege correctamente su sistema y se actúa
de manera segura, es posible existir en Internet.
Alan:
Bien, es por eso que recurrimos a empresas como ustedes (ESET).
Confiamos en ustedes para protegernos. ¿Entonces cómo nos
están protegiendo en este tema?
Andrew Lee:
Tuvimos que volver a desarrollar una parte significativa del motor. No
se trataba que no pudiéramos detectarlos, pero una vez instalados,
la tarea se tornaba más difícil.
Tuvimos que desarrollar un método en el que el Rootkit que estuviera instalado en el sistema se pudiera ver.
Tradicionalmente, lo que nosotros y otras empresas de programas antivirus
hacemos, es esperar que se tenga todo el sistema instalado.
El problema es que una vez que alguien trata de instalar un Rootkit, es imposible defenderse, porque no puede ver los archivos
en ese momento. Es decir, una vez que todo está instalado y se
encuentra en memoria y ejecutándose, es difícil de detectarlo.
Alan:
Creo que esa es una característica muy importante de ESET. Cada vez
que obtiene una licencia de ESET, con NOD32, obtiene el último motor.
Con otras empresas, o programas antivirus, por ejemplo desde
2005 o 2004, el motor no se actualiza, porque no tiene una
licencia para hacerlo y con sólo recibir nuevas definiciones, no
podrá defenderse
contra estos Rootkits, ¿es cierto?
Andrew Lee:
Definitivamente es algo que nos apasiona. Le brindamos la mejor protección
que sabemos brindar.
No me parece que tenga sentido protegerlo contra una amenaza, si no está seguro
de obtener la última protección disponible desde la última
vez que obtuvo su licencia.
Alan:
Usted habla acerca de Rootkits. Parece como si esto fuera
efectivo nada más que para una corporación. Pero los sistemas
hogareños pueden infectarse de la misma manera.
Su programa es la misma aplicación que vende a una corporación.
También lo vende al usuario hogareño, para asegurarse que
obtienen todas las características. ¿No es cierto?
Andrew Lee:
Una de las cosas que realmente creo es que se brinda la misma protección
a todo el mundo. Cualquier persona que trabaja en grandes empresas probablemente
también tenga un ordenador en su casa.
Por lo tanto, tiene sentido, desde el punto de vista corporativo, tener
al usuario protegido y lo mismo vale para el usuario hogareño, dado
que estos podrían acceder al trabajo o utilizar la protección
del ámbito laboral para realizar su trabajo desde el hogar.
La idea es tratar que las personas puedan estar protegidas en todas las
situaciones con la misma tecnología.
Alan:
Y el usuario tiene que asegurarse que cuenta con los últimos programas,
el último motor, las últimas definiciones. Esto es como la
eterna competencia entre ladrones y cerrajeros.
Los cerrajeros están todo el tiempo fabricando nuevas
cerraduras más seguras para que los ladrones no puedan entrar y
los ladrones están aprendiendo cómo piratear las nuevas cerraduras.
Andrew:
Eso es cierto y no existe producto contra código malicioso en
el mundo que no necesite alguna actualización en algún momento.
Se que lo intentamos durante mucho tiempo con la heurística y con
ese tipo de protección que podemos brindarle para que se sientan
seguros que realmente las actualizaciones han sido muy pocas.
Pero sí creemos en las actualizaciones. Las lanzamos por una razón
y, por lo tanto, es importante que los usuarios las obtengan.
Alan:
Esto trae a colación un factor realmente importante, porque antes
el usuario buscaba solamente virus. Y luego aparecieron los programas espía.
Y luego los programas capturadores de teclado (keyloggers). Y ahora aparecieron
los Rootkits.
Todo esto tiene que estar en su motor y si su motor no está escrito
en código de ordenador, enlentecerá todo su sistema, y no
se realizarán más que procesamientos para protegerlo mientras
se encuentre en Internet.
Andrew:
Definitivamente una característica de lo que hacemos para mantener
nuestra cohesión, es tener todo en un motor integrado, en lugar de
tener múltiples motores que realicen este tipo de integración.
Es un motor altamente optimizado y muy rápido. Nos preocupamos
no solamente en tratar de proteger a los usuarios contra un tipo de amenaza.
Realmente estamos tratando de ser líderes contra todo tipo de amenaza,
por así decirlo.
Queremos asegurarnos que los usuarios cuentan con la última y mejor
protección posible contra todas las amenazas digitales que pueden
encontrar. Todo esto en un paquete pequeño, rápido y eficiente.
Alan:
¿Que tenemos aquí, en lo que concierne al costo de NOD32, para
el usuario hogareño y para la empresa?
Andrew:
La licencia del usuario hogareño tiene un coste muy competitivo
y comparable con otros productos existentes. También tenemos renovaciones
a un muy bajo costo.
Y para la empresa, existe una amplia gama de opciones y estoy seguro que
a los equipos de ventas les encantará contarle a la gente acerca
de esto.
Alan:
¿Y dónde podemos obtener más información acerca
de NOD32?
Andrew:
El mejor lugar para visitar es www.eset.com o
el sitio de Internet de su distribuidor más cercano.
Alan:
También cuentan con una nueva característica en su sitio de
Internet. Tienen las transcripciones de Let’s talk computers, por lo
que si alguien quiere leer la entrevista completa, puede visitar esa sección.
Andrew:
Es cierto. Todo está allí escrito y, esperamos que la gente
pueda escuchar esto una y otra vez. Disfrútenlos también desde
nuestro sitio de Internet.
Alan:
Y como siempre, Andrew, ha sido un placer tenerte como invitado
en Let’s talk computers y mostrarnos como estar protegidos. |
