En el cliente donde se implementó el mecanismo de seguridad se plantearon las siguientes alternativas:
1- Guardar el archivo, esperar y ver si existe o no (asumiendo que el antivirus del servidor funciona), esto causa que dependamos que el antivirus del servidor efectivamente revise el archivo que se le hizo upload. Adicionalmente genera un tiempo de espera adicional fijo y existe la posibilidad que la espera sea menor al tiempo necesario por el antivirus.
2- Hacer llamado a un antivirus a través de un componente diseñado para tal fin como http://www.opswat.com/metascan.shtml el cual es pago, pero es una opción que da mucha seguridad
3- Hacer uso de antivirus free que provee API para ser llamado como http://www.wolfereiter.com/antivirus.aspx , pero se tiene el riesgo de la calidad de la detección de virus ya que no es una herramienta muy conocida
4- Utilizar Apis de antivirus como el que ustedes utilizan Symantec Scan Engine, es la opción mas segura ya que se utiliza una herramienta conocida en el mercado por su seguridad, lo malo es que hay que pagar licencia para usar ese api.
La recomendación al cliente fue:
Si se puede invertir dinero a nivel de licencias, recomendamos la opción 2 (licencia core o lite), de segundo recomendamos la opción 4. Si no se desea invertir dinero a nivel de licencias, por el desconocimiento de la confiabilidad del motor de antivirus de la opción 3, recomendamos la opción 1.
El cliente seleccionó la opción 4 ya que poseía ciertas licencias con ese proveedor. En este articulo voy a hablar de la opción de utilizar Symantec Scan Engine
La solución se basa en el uso del protocolo ICAP para mandar requests a un motor de antivirus para que se revise un archivo dado. Básicamente consiste en mandar mensajes con un formato en especifico vía Sockets a un servidor ICAP, en antivirus hace su trabajo y luego nos responde con un mensaje indicando el resultado de la revisión.
En este link pueden ver en detalle la especificación de ICAP para saber como armar los mensajes y como interpretar las respuestas. En este link pueden ver la especificación y ejemplos para Symantec
De este blog saqué el código sobre el cual se basó la solución ofrecida al cliente
Como probarlo sin ponernos en Riesgo?
EICAR, European Institute for Computer Antivirus Research (en español Instituto Europeo para la Investigación de los Antivirus Informáticos), desarrolló lo que hoy es conocido como EICAR test file, o archivo de prueba EICAR.
El EICAR test file sirve justamente para probar la funcionalidad del software antivirus, dándole a éste la oportunidad de detectarlo durante los procesos de escaneo, al mismo tiempo que no implica un riesgo para la seguridad de la computadora en la cuál se efectúa la prueba, sencillamente porque no se trata realmente de un virus.
Los mayores fabricantes de antivirus actuales, lo soportan. De todos modos es importante hacer notar, que no porque un antivirus detecte el EICAR test file, significa que ese antivirus es capaz de reconocer y bloquear todo tipo de código maligno (comúnmente llamado "malware", ya que involucra a todo tipo de software capaz de causar algún daño, y no solo a los virus).
La recomendación es usar el archivo EICAR, simplemente descargalo o genera un nuevo archivo EICAR. El software antivirus (API) debería detectar su presencia como la de un "virus" llamado "EICAR-AV-Test", "Eicar Archivo de prueba" (recordemos que NO es un virus). Ver el siguiente link para mayor información:
Los caracteres son:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Todas las letras están en mayúsculas, y sin espacios. El tercer carácter (X5O...) es la letra "O" no el número cero).
Para crear un archivo de prueba, copia y pega la línea anterior al bloc de notas, y graba su contenido con el nombre que quiera y la extensión .COM
También puede descargarlo de las siguientes direcciones. El formato de la primera (.COM), puede servirle para examinar si su antivirus intercepta la descarga y posterior ejecución, la segunda simplemente visualiza el código en el navegador (como un archivo de texto, .TXT), y las demás implementan la acción con archivos comprimidos (.ZIP):
Cuando el EICAR.COM se ejecuta, no hay peligro de daño alguno, debido a que NO se trata de un virus real), todo lo que ocurrirá será la aparición de una ventana DOS con este único texto:
Si desea implementar un mecanismo de seguridad para los archivos que suben los usuarios a sus aplicaciones, por favor ponerse en contacto para realizar una evaluación de sus requerimientos
No hay comentarios.:
Publicar un comentario