Redacción - En concreto, Mark Russinovich (arquitecto jefe de
Winternals) dice que los métodos empleados por Norton Systemworks
(de Symantec) y Kaspersky Antivirus son idénticos a los maliciosos
rootkits, un termino que define a aquellos códigos maliciosos que se instalan
ocultamente en los PCs de los usuarios para evitar ser detectados por los
antivirus.
"No existe ninguna justificación para utilizar estas técnicas",
denuncia Russinovich. "Si por el contrario, el fabricante esta convencido de la necesidad
de instalar un rootkit esta claro que deben volver a rediseñar el producto",
dijo.
Russinovich explica en su sitio que ha discutido este problema con Symantec y
que ambos discrepan sobre el uso del "termino rootkit" a la hora de calificar
todos los archivos ocultos que pueden encontrarse en un equipo.
Tanto Kaspersky como Symantec reconocieron que usan distintos métodos para
esconder información del sistema operativo, aunque aseguran que el uso de esta
técnica no tiene nada que ver con los rootkits ya que este tipo de ficheros
fueron creados con fines maliciosos y es injusto que los coloquen en esa misma
categoría.
Para las compañías de seguridad informática la intención del autor a la hora de
instalar un ocultar un fichero es lo que cuenta, mientras que para Russinovich
la definición debe basarse en las actuaciones que los ficheros en cuestión
puedan desarrollar, en el presente o en el futuro.
Es decir, que si el autor es un creador de virus e instala códigos ocultos
potencialmente peligrosos será un rootkit, mientras que si estos ficheros son
implantados por una firma para mejorar la seguridad de sus aplicaciones no
debería catalogarse de la misma manera, consideran las firmas de seguridad.
En concreto la carpeta oculta creada por la aplicación de Symantec es utilizada
para recuperar archivos e información borrados por error, por lo que según las
explicaciones de esta firma de seguridad su presencia no representa ningún
peligro para el usuario sino todo lo contrario. Sin embargo, os expertos
consideran que al ser esta carpeta invisible para la mayor parte de los
programas, incluidas las herramientas antivirus, hace posible que pueda
convertirse en un escondite para gusanos y virus.
Definiciones validas
Symantec dijo que la polémica levantada por
Russinovich obligará a la industria a trabajar conjuntamente para definir
correctamente el termino de rootkit tal como ya lo hicieron el pasado año
cuando concretaron el uso correcto del termino spyware.
El uso de la técnica de ocultar archivos en el PC de usuario no es nada nuevo,
aunque hasta este momento nadie haya hablado de ello. Symantec lo viene
practicando desde mediados de los 90 mientras que Kaspersky lo introdujo en la
versión 5.0 de su antivirus.
David Emm, consultor tecnológico senior de la firma rusa de seguridad, explica
que el uso de esta técnica fue decidido para mejorar el performance de la
aplicación, descartando la existencia de cualquier agujero de seguridad que
pueda ser explotada por un usuario malicioso.
Kaspersky no tiene planeado, por el momento, eliminar este tipo de archivos de
sus herramientas aunque podría tomar esta decisión si la polémica arrecia como
sucedió con el caso de Sony BMG.
Por el contrario Symantec ya ha deshabilitado el acceso a estos ficheros
ocultos en su reciente actualización de SystemWorks en una nueva actualización
de la herramienta que puede ser descargada mediante el servicio LiveUpdate.
Preocupación
Russinovich reconoce que los ficheros ocultos instalados por las dos compañías
de seguridad informática no representan apenas peligro para el sistema, todo lo
contrario a lo que sucedió con el "rootkit" instalado por Sony-BMG que
modificaba incluso la actuación de algunas aplicaciones.
Sin embargo, considera que es necesario eliminar este tipo de prácticas. "Nadie
desea desconocer lo que tiene instalado en su PC", argumenta, a la vez que
argumenta que no es nada bueno que sea imposible de hacer un inventario del
software instalado en el disco o simplemente del espacio libre.
Los fabricantes están adoptando prácticas maliciosas, añade el experto, y esto
no es nada bueno ni para los usuarios ni para los profesionales TI. |