Una novedosa forma de defensa en contra de virus ha sido desarrollada por la compañía india Sanra Software, que además, según aseguran los propios ingenieros de la empresa, es eficaz contra otros tipos de “plagas” informáticas, como los troyanos, gusanos, spyware, keyloggers, etc. También seria efectiva contra ciertos tipos de ataques de hackers.
El corazón de esta herramienta es un software que guarda una “fotografía” el estado de una PC, con todos sus detalles, tomada en el momento en que se encuentra libre de códigos malignos; y luego el sistema se encarga de buscar alteraciones en los ficheros que presenten alteraciones en su estructura o integridad. Además de los ficheros, Rudra, tal el nombre del programa, estudia todos los cambios de configuración, alteraciones en aplicaciones críticas, etc. Cada cambio en el sistema que pueda representar una amenaza potencial, es inmediatamente verificado por Rudra.
El programa posee rutinas especiales que escanean el sistema cada tres minutos, eliminando la amenaza y reestableciendo la última configuración que era plenamente funcional, en caso de ser necesario.
Según los programadores, la novedad que presenta esta solución, que une los beneficios de un antivirus a los de un anti-spyware, es la no dependencia de un servidor al que conectarse periódicamente para descargar las firmas de virus nuevos, además de ser mucho mas efectiva que las soluciones basadas en métodos heurísticos desarrolladas hasta el momento. En el site de la empresa se puede leer que “el problema con los programas antivirus actuales es que depende de ficheros de firmas o de la heurística. La tecnología de firmas identifica a cada virus y evita que este entre en el sistema o dañe algún fichero. La heurística se basa en el comportamiento y patrones comunes para identificar y destruir [a los virus]. Desafortunadamente, ninguna es efectiva contra formas desconocidas de malware […]. De hecho, aún la ultima actualización de su antivirus es obsoleta luego de algunas horas, ya que alrededor de 30 nuevos virus son creados diariamente”.
El esquema de trabajo Rudra no impide que el usuario siga utilizando su programa antivirus favorito, de hecho, no existe ningún tipo de incompatibilidades entre los antivirus existentes que pudiesen estar instalados en su sistema y Rudra.
En las pruebas preliminares, siempre según comunicados de la propia empresa india, Rudra ha sido capaz de identificar y remover el 100% de los virus y malware presente en los sistemas de prueba.
En el momento en que Rudra encuentra algún candidato sospechoso en el sistema, despliega una ventana donde se le informa al usuario del hecho mediante el mensaje “Rudra has identified a Malware and removed it” y se provee la ruta del fichero sospechoso. Rudra no informa del nombre del virus o malware encontrado por que debido a su forma de trabajo no posee una base de datos de firmas. Tampoco pregunta si el usuario autoriza la destrucción del fichero sospechoso, simplemente lo elimina y luego informa al usuario.
Rudra busca código malicioso en la RAM del sistema y en el disco duro.
Sanra ha proporcionado algunos benchmarks de su software, para que podamos ver el tiempo que demora en revisar los ficheros de un sistema tomado como ejemplo. Los números proporcionados son los siguientes:
Prueba 1: en un equipo Pentium III con 128 MB de RAM, disco duro de 40 GB ejecutando Windows 2000, Rudra fue capaz de revisar 8136 ficheros en un minuto.
Prueba 2: sobre una plataforma Celeron con 256 MB de RAM, disco de 40GB y Windows XP logro revisar 9145 ficheros en 1 minuto.
En principio, estos resultados están dentro de los considerados normales para cualquier antivirus modernos, y significan que un ordenador promedio, con unos 100.000 ficheros en su disco duro pude ser revisada en unos 10 minutos. Recordemos que Rudra mantiene bajo más estrecha vigilancia a los ficheros cruciales del sistema, lo que le permite ser en realidad mucho mas rápido que eso, lo que explicaría lo expresado en el comunicado de prensa cuando dice que revisa la integridad del sistema cada tres minutos.
Sanjay Bhardwaj, gerente general de la empresa Sanra Software, expreso en un comunicado que “nuestro producto no depende de las actualizaciones constantes, lo que incide positivamente en el rendimiento del sistema. Aún así, la detección de códigos malignos será optima y en tiempo real”. Esperan tener el producto disponible en la segunda quincena de enero del 2006.
No caben dudas que este sistema de defensa provee al usuario de una herramienta sumamente útil, teniendo como puntos fuertes a su favor el hecho de no necesitar actualizarse periódicamente como hacen la mayoría de los antivirus del mercado, ni depender de un análisis heurístico que eventualmente puede no detectar una amenaza o dar falsos positivos. La velocidad con la que revisa el sistema no debería ser un problema, y el tiempo que emplea en revisar nuestro sistema no es mayor que el que necesitan los antivirus tradicionales. Además, al no estar basado en firmas que debamos descargar periódicamente, no es necesario pagar por mensualmente ese servicio.
Para los más paranoicos, o en aquellos lugares donde la seguridad es crucial, la posibilidad de combinar a Rudra con otros sistemas antivirus sin que se produzcan incompatibilidades es muy positiva.
Lo criticable del sistema, que eventualmente haber sido resuelto de otra manera es el borrar el fichero sospechoso e informar al usuario sin que este puede decidir si dicho fichero puede o no permanecer en el sistema.
Otra desventaja es que debido al mecanismo intrínseco de búsqueda, no podemos informarnos del nombre del virus (u otro tipo de amenaza) que Rudra detecto y elimino de nuestro ordenador, ya que al carecer de una base de datos con las firmas es incapaz de identificarlo. Esto no es solucionable, dado que la principal novedad y argumento a favor del software indio es justamente no depender de dicha base de datos.
También es fundamental que al instalar Rudra en un ordenador, estemos seguros que se encuentra libre de cualquier alimaña, ya que el software tomara el estado actual como ejemplo (la fotografía que mencionábamos al principio) y será incapaz de encontrar mas adelante un malware que este presente en el momento de la instalación. Esto es solucionable instalando Rudra en el momento de la puesta en marcha inicial del ordenador, o utilizando otro antivirus para asegurarnos la integridad del mismo antes de la instalación de Rudra.
Existe una versión de prueba de Rudra en la pagina web de la empresa Sanra.
Virus: un virus es un programa con capacidad de replicarse en el sistema y eventualmente copiarse a otros ordenadores. En determinadas circunstancias, el código del virus puede provocar daños generalmente irreversibles.
Troyanos: código malicioso que ingresa a nuestro ordenador disfrazado de un software legitimo o útil, para proceder a realizar alguna tarea (generalmente algún daño) no autorizada.
Gusano: software autoreplicante sin código dañino especifico, pero capaz de provocar inconvenientes, sobre todo en las redes debido a la cantidad de copias de si mismo que genera y el trafico que ocasiona en ellas.
Keyloggers: son programas encargados de registrar y eventualmente enviar vía email todo lo que tipeamos en nuestro ordenador.
Malware: es un término que describe software maligno, diseñado especialmente para dañar o destruir otros programas o redes. El malware comprende a virus, gusanos y troyanos.
Hackers: en su origen, este termino define a aquella persona que accede sin autorización a un sistema ajeno, mediante algún tipo de ingeniería social o aprovechando agujeros en la seguridad de los mismos. Actualmente, el término generalmente se asocia a quien realiza dichas acciones con intenciones de dañar el sistema o utilizarlos para dañar a terceros.