Enero 2006

¿Symantec y Kaspersky instalan archivos dañinos ocultos?

La semana pasada Mark Russinovich, Director de Desarrollo de la empresa Winternals declaró que el Norton Systemworks de Symantec y el Kaspersky Antivirus utilizaban rootkits, o códigos dañinos que se instalan subrepticiamente en los ordenadores de los usuarios y no son detectados por los antivirus. Debido a que esta es una denuncia grave y a que la información que se dio a conocer fue algo confusa, preparamos un resumen con las declaraciones de todas las partes involucradas.

"No existe ninguna justificación para utilizar estas técnicas", fue la frase con que Russinovich comenzó su denuncia, y continuó: "si un fabricante está convencido de la necesidad de instalar un rootkit, esta claro que deben volver a rediseñar el producto". Russinovich explica en su sitio de Internet, que discutió este problema con Symantec y que ambos discrepan sobre el uso del término "rootkit" a la hora de calificar todos los archivos ocultos que pueden encontrarse en un equipo.

Tanto Kaspersky como Symantec reconocieron que usan distintos métodos para ocultar información del sistema operativo, aunque aseguran que el uso de esta técnica no tiene nada que ver con los rootkits ya que este tipo de archivos fueron creados con fines maliciosos y es injusto que los coloquen en esa misma categoría.

Para las compañías de seguridad informática involucradas en la denuncia, la intención a la hora de instalar un archivo oculto es lo que cuenta, mientras que para Russinovich la definición debe basarse en las acciones que estos archivos puedan desarrollar, en el presente o en el futuro.

La posición de Symantec

Symantec ha declarado que la polémica generada por Russinovich requiere que la industria trabaje conjuntamente para definir un estándar sobre el concepto de rootkit, tal como se hizo el año pasado cuando se convino el uso correcto del termino spyware.

La técnica de ocultar archivos en la computadora del usuario no es nueva, Symantec lo viene practicando desde mediados de los 90, pero ha deshabilitado su acceso en su reciente actualización de SystemWorks.

La posición de Kaspersky

Los productos de Kaspersky utilizan archivos ocultos en el PC del usuario desde la versión 5.0 de su antivirus. David Emm, Consultor Tecnológico de la firma rusa, explica que el uso de esta técnica fue decidido para mejorar el rendimiento de la aplicación, descartando la existencia de cualquier agujero de seguridad que pueda ser explotada por un usuario malicioso.

Kaspersky no tiene planeado, por el momento, eliminar este tipo de archivos de sus herramientas, pero está analizando la implementación de tecnologías alternativas.

Conclusión

Los últimos días de la semana pasada y tras varios cruces de declaraciones a los medios por parte de los involucrados, Russinovich terminó reconociendo que los archivos ocultos instalados por Symantec y Kaspersky no representan peligro alguno para los sistemas de los usuarios, todo lo contrario a lo que sucedió con el rootkit instalado por Sony-BMG que modificaba la actuación de algunas aplicaciones.