PDF de programación - Antivirus para armar... o más bien, hágalo usted mismo

Antivirus para armar…

o más bien, hágalo usted mismo


M.Sc. Alberto García Fumero

FLISOL 2014 Ciudad de La Habana

ClamAV (Clam antivirus)

El proyecto ClamAV Antivirus fue fundado en el año 2001 por Tomasz Kojm. Nació como un
proyecto opensource que pretende identificar y bloquear virus en el sistema.

Pero...¿y por qué? ¿qué sentido tiene?

¿Acaso hay virus en Linux o UNIX?

(Porque todo el mundo me dice que a Linux no le entran los virus, y yo he visto que
las máquinas Windows se infectan y esas no...)

 Una de las vulnerabilidades de GNU/Linux (en realidad, vulnerabilidad de sus
usuarios) es que multitud de usuarios piensan que Linux no es vulnerable a los
virus. Los virus y ataques malintencionados presentan una amenaza real a los
sistemas Linux. Si un binario infectado contiene uno de esos virus, al ser
ejecutado el binario, el sistema se infectaría.
el nivel de infección dependerá de los privilegios del usuario que ejecutó el
programa. Por eso se recomienda tanto no trabajar con nivel de root a no ser
que resulte imprescindible.

 Normalmente uno no trabaja (no debería trabajar) con la cuenta root. Para eso
existen sudo y las tantísimas cuentas que crean las aplicaciones que necesitan
permisos especiales.
Si el virus entra por la cuenta de superusuario podría llegar a infectar el sistema
entero. En caso de un usuario normal, el sistema operativo estaría seguro
aunque los datos del usuario no. El virus podría borrar e incluso enviar esos
datos a otro equipo remoto.
Por otro lado, las vulnerabilidades de escalada de privilegios pueden permitir
que malware ejecutándose bajo una cuenta de acceso limitado también se
propague por todo el sistema.




Además existen virus multiplataforma...

Un virus no tiene por qué ser para Window$$ o UNIX/Linux
exclusivamente.
El primer virus multiplataforma (Windows, Linux, Mac, fue creado
por el grupo de fabricantes de virus 29A (29A en hexadecimal es 666
en decimal) hace ya muchos años.

De todas formas, repito: solo tendría acceso a lo que el usuario infectado tuviera
acceso.

Pero bueno, ¿y si pongo un antivirus y me borra adjuntos por error? Los antivirus se
equivocan, hay falsos positivos... mis usuarios me van a matar!

Ciertamente siempre hay errores...

 Microsoft Anti-Virus para Windows (MWAV): en su momento identificó a Windows 95

como un virus

 Kaspersky antivirus detectaba al antivirus de Segurmática como un virus

Segurmática detectaba una versión de WinRAR (craqueada!) como virus, y lo borraba.

Pero el riesgo es cada vez menor, ya que se puede controlar qué se manda borrar y
qué no se borra, y el análisis del código sospechoso es cada vez más cuidadoso.


¿Y puedo acaso ser un portador asintomático?

 Que los virus no prosperen en Linux no significa que me
sienta en libertad de olvidarme de que existen... ¿qué tal
si por descuido comparto un documento infectado que
copié en una máquina Windows?
¿Conocen la historia de María Tifoidea? María
Tifoidea o María la Tifosa (Typhoid Mary, en inglés), fue la primera persona
en los Estados Unidos a la que se identificó como un portador sano de los
patógenos asociados con la fiebre tifoidea. Se presume que infectó a 53
personas, tres de los cuales murieron, en el transcurso de su carrera como
cocinera. Fue puesta en cuarentena en dos ocasiones por las autoridades de
salud pública, y murió después de casi tres décadas en cuarentena total.


Está bien, está bien, buscaré un antivirus... ¿cuáles tengo?

Existen varios antivirus con versiones que funcionan sobre Linux
(Avast!, AVG, Avira, BitDefender, F-Prot, Nod32, Kaspersky,
SavUNIX), pero prácticamente todas, menos uno (ClamAV), son
propietarios, aunque algunos resultan gratis para uso personal. Si se
van a usar en una empresa hay que pagar.

O sea, en la realidad tengo prácticamente un solo candidato.

Dele a un niño de tres años un martillo...

… y todo lo que vea le parecerá un clavo!

• Disponiendo en la práctica de un solo antivirus, lo utilizamos para todo.

Se ha ido desarrollando una “cultura ClamAV” que incluye paquetes de
compatibilización con ClamAv para las cosas más disímiles: clamassassin,
proftpd-mod-clamav, clamfs,
nautilus-clamscan, clamsmtp, pyclamd,
squidclamav...
ClamAV lo mismo analizará un flujo (streaming), que descontaminará

ficheros, que chequeará directorios. Es notablemente flexible. Aquí se pone de
manifiesto una de las cosas buenas del modelo del bazar: siempre se deja la
puerta abierta.



¿Y cómo es ClamAV comparado con Kaspersky, Nod32, etc?

Muy raras veces, si alguna, aparece ClamAV en una tabla comparativa.

Ciertamente aún ClamAV carece de algunas de las comodidades y posibilidades de
que disponen los mejores antivirus para Windows. Por ejemplo, viene “de caja” como
aplicación de línea de comandos, sin interfaz gráfica (ah, pero puedo instalarme
después una interfaz; le conozco al menos tres distintas!) y por el momento solo
funciona a demanda (esto puede flexibilizarse). No está preparado para escanear
automáticamente, en tiempo real, un dispositivo (por ejemplo, una flash) recién
insertado, y aún no chequea memoria.

¿Y por qué ClamAV no trae esas cosas ya incorporadas? ¿No sería

mejor para el usuario final?

Es una buena pregunta. Ciertamente sería mucho mejor para el usuario final.
Pero recordemos que nuestro modelo es el del bazar, no el de la catedral. Los
programadores trabajan en lo que pueden o quieren, sin obligación.
Hasta ahora nadie ha considerado el problema tan crítico como para desarrollar una
solución libre completa. Sucede que...

Todo buen trabajo de software comienza a partir de las necesidades personales
del programador (todo buen trabajo empieza cuando uno tiene que
rascarse su propia comezón). (La Catedral y el bazar)

¿Tal vez usted sea el elegido?

Esta carencias pueden suplirse en muchos casos haciéndolo trabajar en combinación
con otros paquetes.
Toda herramienta es útil empleándose de la forma prevista, pero una *gran*
herramienta es la que se presta a ser utilizada de la manera menos esperada (La
Catedral y el bazar)
Los programadores y gurúes de Linux suelen concentrarse en áreas muy específicas
de trabajo, dejando sin embargo la posibilidad de compatibilizar su resultado con
otras soluciones de otras áreas. Por ejemplo, es usual que los programas funcionen en
modo de texto, dejando abierta la posibilidad de variar la interfaz gráfica en
dependencia del entorno de trabajo que tenga la distribución o los gustos del usuario.
Linux!
Para gustos están

y para escoger...

los colores,

Ya lo instalé, pero no le veo interfaz gráfica... ¿no la tiene?

Pues... no. Está hecho en modo de comando.

La buena noticia (aparte del gran número de parámetros que se puede
usar y su flexibilidad) es que a alguien le molestó el asunto lo
suficiente para ponerse a crearla.

Nuevamente acudimos al bazar, esta vez a buscar una interfaz gráfica.

Le conozco al menos 3:

Interfaces gráficas de ClamAV

Antiviral


ClamTK

KlamAV

En esto de las interfaces gráficas, cada cual tiene sus criterios...

Nada prohíbe que usted intente hacer una también, que le de las facilidades que busca
y no encontró en otras. Claro, si es que nos... pica lo suficiente. Y si tenemos algún
conocimiento del tema, por supuesto.

No olvide que...

Usted es un usuario de software libre. NO SE MENOSPRECIE!

Puede modificar y reciclar programas y scripts, y adaptarlos
a sus necesidades. En el software libre modificar y reciclar
no es una opción, es la norma.

Use el lenguaje de programación que conozca, y láncese a la
aventura.

O use algún paquete que le permita crear ventanas y “rellene los espacios en blanco”
de cada módulo de acciones (según el lenguaje que sea), mandando a ejecutar el
binario del ClamAV (el clamscan) con los parámetros deseados.

Por ejemplo:

Una propuesta sencilla (que yo también soy un niño de 3 años en algunas cosas,
desde que descubrí ese paquete) es usar WXPython para generar la interfaz gráfica y
mandar a ejecutar el clamscan mediante algo como:

retcode = call("clamscan" + " -r --remove=yes "+directorio+' &', shell=True)

Una vez que tenga cómo lanzar el binario, puedo pensar en formas de capturar la
salida del comando, y obrar en consecuencia: ejecutar un sonido o poner una ventana
o avisarme por correo o por el chat si encontró virus, por ejemplo...

Está bien, ya instalé uno de ellos, pero cansa esto de estar lanzándolo a
mano cada vez que quiero revisar algo. ¿Cómo puedo acoplarlo
con el resto de mi sistema?

Ciertamente ClamAV es un antivirus “a demanda”. Pero podemos acoplarlo a
algunas cosas...

Tenemos a Nautilus-clamscan como una extensión de Nautilus que añade un
item "Scan for viruses" al menú que aparece al hacer clic derecho sobre un
fichero en Nautilus. El proceso se muestra en una ventana de progreso.
Pudiera explorar el paquete nautilus-actions.
Podemos armar una solución similar para Dolphin, usando la experiencia del
colega Alex Vergara Gil .




Ya empezaron los problemas! Cuando mando a actualizar el ClamAV me

pide Internet! Soy 100% cubano! ¿Qué me hago entonces?

Aunque en la práctica se puede actualizar ClamAV descargando en una máquina las
firmas daily.cvd y main.cvd y luego copiándolas a los clientes mediante scp (a mano
o mediante un script), sería deseable en ocasiones usar freshclam, sobre todo cuando
las estaciones de trabajo son Windows y usamos el porte de ClamAV para Windows,
Clamwin..

Para ello hubimos de realizar las siguientes modificaciones:

 Crear una entrada en el servidor DNS para clamav.ettpartagas.co.cu
 Comentar la línea Example en /usr/local/etc/freshclam.conf (usamos el

http://clamav.ettpartagas