Random IRC quote :      <astralia> madalenasbuenas tienes cosquillas?

F-Secure BlackLight actualiza su motor de análisis

blacklight.jpg

Parece que tal y como comentabamos en un post anterior (echad un vistazo a los comentarios 😉 ), después del pequeño revuelo montado a raiz del tema de los NTFS Streams, algunos productos han decidido actualizar sus motores, es el caso de F-Secure, el cual anuncia en su blog que da soporte a esta tecnología en su producto anti-rootkit BlackLight, me hace un poco de gracia el comentario que hacen….

«Many of our readers have probably heard of Alternate Data Streams (ADS) on NTFS. They’re not that well documented and there are only a few tools that can actually handle them.»

En cualquier caso, no comentan nada de que la tecnología esté también disponible en su producto antivirus, ya que BlackLigth es una herramienta aparte de este, y parece que como viene siendo habitual aparece el soporte después de que se produzca la «incidencia»

10 Comentarios para “F-Secure BlackLight actualiza su motor de análisis”

  1. Comment por ggonzalez | 06/26/06 at 10:12 am

    Como ya dije en otro post, que la solucion venga siempre despue que la incidencia, me parece que no va a cambiar mientras todo el modelo de seguridad del SO siga como hasta ahora. Por mucho que tengas a un equipo intentando buscar todas las vulnerabilidades posibles, siempre habra alguna que descubra otro grupo antes, con el correspondiente «fracaso».

    Quizas en esto se basa la mayor parte del negocio de la seguridad actual, no? Que pasaria si los SOs fueran realmente seguros siendo los virus, trojanos y otros fallos que conllevan la ejecucion de codigo imposibles?

  2. Comment por Zohiartze | 06/26/06 at 11:57 am

    Pues sería como la legalización del aborto de la gallina: el caos de la economía.

    ¿Que pasaría si se dejasen de migrar miles de aplicaciones AS400 a otros entornos? Dejando al margen el hecho de que miles de personas se irian al paro, las aplicaciones antiguas practicamente no tendrían bugs, despues de años funcionando. Pero siempre se ha dicho que algo que no tiene bugs, generalmente se ha quedado obsoleto ¿no? Yo haré como Galileo: juro que las aplicaciones antiguas estan obsoletas, «pero que no lo estan…». Me explico: cuanto más trabajo haya para los informáticos, supuestamente mejor será para nosotros (cuantas más aplicaciones obsoletas, ¡mejor!). Pero realmente, no creo que un sistema que haya sido testeado durante años y sea por lo tanto un buen sistema libre (hasta cierto punto) de bugs, sea por eso un sistema obsoleto. Más bien pienso que eso es una paradoja…

    Por ejemplo: De cara al usuario, ¿cuales son las enormes diferencias entre un Ventanas NT 4.x o un Ventanas XP? ¿Y el Ventanas Vista que megamodernidades traerá que hará de que nuestras vidas sean una nueva vista-experiencia digital?

    ¿Os imaginais un Anti-Virus, tan bien desarrollado al que solo le aparecierán mejoras cada 2 años, corriendo en un sistema operativo probado y reprobado por millones de usuarios durante años?

    ¡Sería como el aborto de la gallina!

  3. Comment por ggonzalez | 06/26/06 at 12:25 pm

    Hombre, lo que si esta probado es que «probar» las cosas no las hace estar libres de bugs y por mucho a;os que tenga una aplicacion no la libera de fallo. Como ejemplo, el bug encontrado por mballano, creo que llevaba ahi desde los 80, no?

    No se muy bien a que te refieres con software «obsoleto» si es a que las interfaces se quedan viejas pronto o hay que hay partes de una aplicacion escritas en ensamblador y por tanto pueden cambiar arqutiecturas. Pero lo que es la logica de la aplicacion deberia permanecir invariante en el tiempo, si no, estamos hablando de otra aplicacion distinta.

    Y no creo que el trabajo de los informaticos, ni mucho menos, sea arreglar bugs o vivir mendigando de software mal concebido.

    En la direccion que hay que trabajar es en hacer las cosas BIEN, libres de bugs desde el PRINCIPIO y perdonadme por recurrir siempre a la misma comparacion, pero desarrollar de la manera en que lo hacen los ingenieros electronicos, un arquitecto o un industrial hacen su trabajo.

  4. Comment por Anónimo | 06/26/06 at 1:22 pm

    Hombre, por eso decía libre (hasta cierto punto) de bugs. Nunca se puede estar seguro de que un sistema está completamente libre de fallos. Pero en el ejemplo que pones del bug descubierto por mballano, precisamente, ahora el bug ya está descubierto y puede ser corregido. En futuros sistemas operativos y antivirus, puede que no encuentres ese bug viejo, pero en proporción iras encontrando mas bugs nuevos que si sigues usando el mismo sistema operativo de siempre. Al menos eso pienso, aunque no pueda demostrarlo 🙂

    En cuanto a lo de mendigar de software mal concebido, bueno no son precisamente mendigos los que yo conozco que viven de vender software tremendamente mal concebido…

    Eso sí, estoy totalmente de acuerdo en que hay que trabajar para hacer las cosas BIEN y libres (en lo posible) de bugs desde el PRINCIPIO. Pero desgraciadamente:

    A) En el mundo se crea muchisimo software cada día y pienso que no hay gente suficiente con los conocimientos adecuados para hacerlo BIEN.

    B) Crear software tremendamente horrible parece ser de sobra rentable hoy en día como para que la industria se plantee hacer un esfuerzo por mejorar lo que estan haciendo.

    C) Ojalá esto cambie pronto y yo pueda despertar por la mañana pensando que mi trabajo va a resultar interesante.

    Cuando el software se haga bien desde el principio, muchisima gente se irá al paro, pero tal vez tu y yo sigamos conservando un puesto de trabajo.

  5. Comment por ggonzalez | 06/26/06 at 1:30 pm

    Respuesta a los puntos:

    A) De acuerdo en las dos cosas que planteas.

    B) De acuerdo.

    C) De acuerdo

    No de acuerdo con tu conclusion, no la encuentro muy logica la verdad, la gente que se dedica a arreglar bugs, probablemente dejaria de «perder el tiempo» y se incorporaria a mejorar la aplicacion.

    Solo dos pensamientos mas. La busqueda del software «perfecto» no pasa por tener a gente que sepa utilizar bien sprintf() y demas historias, si no en cambiar la manera en que se desarrolla software y bueno, dificil? Obvio Necesario? Por supuesto si queremos seguir avanzando y no perder tiempo en poner remiendos 🙂

  6. Comment por inocram | 06/27/06 at 12:53 am

    Interesante discusion. Llevo un rato intentando resistirme, pero no lo voy a poder conseguir. Y de paso, aprovechare para hacer un poco de abogado del diablo. Aunque en algunos puntos no estoy de acuerdo al 100% con las ideas que voy a exponer, creo que va a ayudar a avivar el debate.

    Comenzare por la parte que mas me ha gustado. No creo que el hecho constatado de que la solucion viene tras la incidencias tenga nada que ver con el modelo de seguridad de los sistemas operativos, ni con el modelo de negocio de las empresas relacionadas con el mercado del software, ya sean o no de seguridad. Las incidencias existen porque el ser humano es falible, y como tal comete errores. Y como esta cualidad es indisociable de la condicion humanda, ni siquera merece la pena entrar en un debate semejante mas alla de los ambitos filosofico-cutres universitarios. Lo que se esta debatiendo, o criticando mas bien, es el hecho innegable de que esos modelos de negocio de las empresas dedicadas al mercado del software favorecen las incidencias, en vez de intentar minimizarlas. Y el porque esta bien claro. La pasta. La lucha por las cuotas de mercado, ganancias, etc. etc. Y mas concretamente estamos criticando la calma que se toman las empresas de seguridad a la hora de hacer frente a problemas evidentes y ampliamente conocidos, como puede ser el tema de los Alternate Data Streams. Y la razon a mi juicio es exactamente la misma que define sus modelos de negocio. ¿Cual es el coste de una implementacion para un control serio de los ADS?¿Y cual es el beneficio que obtengo? Dependiendo de que lado caiga la balanza, se vera una solución rápida o habrá que esperar a que los pesos de la balanza «hagan necesaria» esa inversion. ¿Patetico? Si. Pero es la realidad pura y dura.

    Siguiendo con la discusion sobre las sucesivas versiones de sistemas operativos, o cualquier otro tipo de software… Parece evidente que en muchos casos sucesivas versiones de tal o cual software solo persigue un fin. Ganar dinero. Y desde luego que el factor economico es determinante. Pero desde luego, es bastante ingenuo pensar que este es el unico fin. ¿Cuales son las diferencias para un usuario entre usar Win Nt4.x, Windows XP o Windows Vista? ¿Acaso es que no existe una mejora evidente? ¿Por que no comparamos Windows NT3.5X con Windows XP? ¿ O MS-DOS con Windows 95? ¿No existe una mejora evidente en muchos los aspectos? El argumento que planteas es falaz. ¿Deberiamos haber seguido con MS-DOS para siempre?

    Y ya de paso, se ha intentado comparar el trabajo de los «ingenieros informaticos» con ingenieros electronicos o arquitectos. Bien. Yo si voy en coche por la autopista y veo un cartel de que a cien metros tengo un puente version 2.0 Beta, no se me ocurre pasar ni de coña. El problema del desarrollo de software es totalmente diferente al problema de construir un puente. Tanto los arquitectos, como los ingenieros electronicos, o como los profesionales de muchas ramas relacionadas con la ingenieria, fundamentan su trabajo en los conocimientos obtenidos durante años. Pero no reutilizan nada. Cada proyecto comienza desde cero, estando libre de los errores cometidos en proyectos anteriores. En el software, los errores se arrastran puesto que los proyectos se construyen en base a la reutilizacion de cosas ya hechas, y no exclusivamente en base a los conocimientos adquiridos. Un arquitecto no se dedica a ponerle dos columnas mas a un puente que esta construido sobre otro puente al que alguien al mismo tiempo le esta poniendo dos chapas de acero por ahi dios sabe donde. Aun asi encuentro esta comparacion muy didactica, y dice mucho del trabajo del informatico en el sentido de que a ningun lerdo le van a poner a construir una presa, ni le van a dejar comenzar sin tener un puto plano, ni le van a dejar hacerle un agujero en medio porque queda bonito, etc. etc. xDDDD

    Creo que tenia mas cosas que decir, pero el sueño me puede.

    Buenas noches ;o)

  7. Comment por Zohiartze | 06/27/06 at 8:34 am

    Inocram, esta claro que hay diferencias entre las versiones de los sistemas operativos que suponen mejoras. Pero realmente, con un NT 4.x podré conectarme a intesné, ver peliculas y desarrollar software exactamente igual que en un XP y en un Vista. Aunque bueno, seguramente, aunque el Ventanas Vista sea más moderno, casualmente, también consumirá más recursos y requerirá una CPU más potente… Y tendrá más bugs pendientes de ser encontrados 🙂

    De todos modos, con el tema de los bugs, pasa como con todo: creo que su importancia es relativa. Quiero decir, que si la humanidad sobrevivió a la guerra fria, sobrevivirá también al software nefasto. Al fin y al cabo, el desarrollo de software a toda hostia y en malas condiciones no deja de ser una especie de guerra fria ¿no?

    Por cierto, el que dijeras que «El argumento que planteas es falaz» me ha llegado al alma :-/

  8. Comment por ggonzalez | 06/27/06 at 10:26 am

    Inocram, me gustaria aclarar algunos puntos porque creo que no has entendido mis comentarios y algunas cosas que comentan son totalmente erroneas.

    Parrafo 1: Que se produzcan incidencias es una consecuencia directa del modelo de seguridad y de los malos desarrollos que se producen. Si, el hombre como tal se equivoca, pero eso es independiente de los dearrollos de software. Que pasaria si los desarrollos hardware tuvieran tantos bugs como el software? Yo el ultimo gordo que recuerdo es el foof de los pentiums. Por que hay una incidencia tan baja de errores? Porque tienen un modelo de desarrollo totalmente controlado, reutilizan, verifican formalmente, etc.

    Parrafo 2: El unico fin de las compa;ias de software es ganar dinero, obviamente si te empeoran el producto el usuario no lo va a comprar, por eso mejora de version en version. Claro que habra algo que incluyan «for free», pero esta claro que el factor determinante es el dinero.

    Parrafo 3: Por lo que destacan el resto de las ingenierias es por REUTILIZAR, un ingeniero de caminos no se pone a dise;ar las vigas, ni los ladrillos ni nada. El hace los calculos oportunos y juega al tente (o lego como prefieras) con las piezas que ya estan hechas, debidamente probadas, con sus certificados de seguridad, etc De la misma manera los electronicos, industriales, etc Crees que para desarrollar un Pentium se ponen a dise;ar los transistores y todo las componentes desde cero?

    En pocas empresas se llega al nivel de reutilizacion que tienen en otras ingenierias, creo que son las que tienen el CMM5, no me acuerdo realmente, y estas empresas son las que hacen el software de los cohetes de la nasa, control de centrales nucleares y demas cosas que se pueden equiparar a una presa, como tu decias.

    Por cierto, reutilizar no es continuar un desarrollo que te encuentras por ahi, es emplear una pieza de software que ha sido previamente desarrollada, por tu empresa o por otra previamente, y que en un projecto lo empleas y no te preocupas de como esta hecho, porque no deberia contener errores.
    Y repito, es dificil llegar al nivel de «perfeccion» de otras ingenierias? SI
    Se conseguira? SI

  9. Comment por elsatnoteolvida.eleto | 06/27/06 at 11:53 pm

    Tus comentarios me parecen sumamente acertados y correctos. Una vez más aprendemos de tus conocimientos y aprendemos de tus sugerencias. En mi nombre y en nombre de todo el poligono san cristobal te damos las gracias por iluminarnos de conocimientos y consejos. Esperamos algún post de tu compi de piso. Un saludo y otra vez gracias. Tengo tu abrigo en mi armario.

  10. Comment por mballano | 07/10/06 at 4:11 am

    Un saludo eto! :-), y te aseguro que … volveré a por mi abrigo! xDD

Se han cerrado los comentarios