La Piazza

Published by Javier Guerrero,  June 17th, 2010

When I talk about malware and the need to make end-users aware about its dangers, I usually get comments like “install a Linux distribution and forget about viruses” or “change to Mac, it has no malware”. I would like to discuss this in this post, as although these comments are fairly reasonable, it’s not that simple.

It’s not true that there is no malware for Linux and Mac, however, it is true that there is much less malware targeting these operating systems in comparison to the malware targeting Windows. There are several reasons due to which Microsoft’s system is the most targeted:

First, Windows is by far the most used operating system worldwide. The image below recently obtained from the NetMarketShare website, shows global statistics about different operating systems’ market share.

.

As you can see, at 91.58% Windows is far ahead from the second most used operating system at 5.33%, which isn’t Linux but Mac. This is striking: regardless of the effort made by numerous companies, public administrations and users, Linux only holds a 1% market share.

It is therefore obvious that malware creators find Windows the most attractive platform for mathematical reasons: that’s where most of their creations’ victims/users are. Evidently, the moment a new platform reaches a notorious market share, it will attract malware creators’ attention.

Another reason for Windows being a clear objective is that although the Redmond company have been taking security very seriously for some time, historically security wasn’t one of their main priorities, especially in the case of DOS, Windows 9x, etc. They later launched the NT platform (the first Windows NT 3.5 and NT 4), designed bearing security, stability, etc. in mind. Ironically, the success achieved by their previous systems made them “overlook” some security-related aspects in order to make it more user-friendly.

As for the migration of users from Windows to other platforms, it is complex. Numerous users with non-technical profiles are accustomed to managing a series of tools in a familiar platform they feel comfortable with. Most of them prefer and find it easier to have malware threats present, and get used to using one more tool (security software) before evaluating whether to change to an unknown system.

Additionally, Windows’ market share has an inertia effect, which leads users to asking themselves: “what am I going to install and learn how to use another operating system for, if wherever I go there’s going to be Windows?”

Another reason due to which the Windows operating system is the most used is that it is usually preinstalled in most of the computers that are purchased by users, which gives it an advantage over other systems.

Finally, I would like to return to the beginning of this post and leave you thinking about the following question: Panda Security’s mission being to protect and spread awareness, it wouldn’t be logical for us to ignore the threats targeting the most used platform worldwide (whether we like it or not), would it?

Javier Guerrero Diaz
R+D – Development Dept.
Panda Security

Publicado por Javier Guerrero, 16 de junio de 2010

Cuando escribo sobre malware y sobre lo necesaria que es la concienciación, por parte del usuario final, de los peligros del mismo, es habitual que reciba comentarios del tipo “instala una distribución de Linux y olvídate de los virus” o “pásate a Mac, donde no hay malware”. En este artículo me gustaría comentar esta cuestión, ya que, si bien estas afirmaciones tienen su fundamento, también es cierto que la cosa no es tan sencilla.

No es cierto, ni mucho menos, que para Linux o Mac no exista malware, pero sí es cierto que la cantidad del mismo es ínfima si la comparamos con el número de amenazas que tienen a Windows como objetivo principal. Y existen diversos motivos para que el sistema de Microsoft sea el más atacado.

En primer lugar, Windows es, con una abrumadora diferencia, el sistema operativo de escritorio más usado en todo el mundo. La siguiente pantalla, obtenida recientemente mediante la web de NetMarketShare, muestra las estadísticas globales de cuota de mercado de los distintos sistemas operativos:

Como puede apreciarse, la cuota de mercado de Windows llega a extremos absolutamente abrumadores, y muestra una diferencia brutal (un 91,58%) con el segundo sistema más usado (un 5,33%), que curiosamente no es Linux, sino Mac OS. Este último dato llama poderosamente la atención: Linux, a pesar de los numerosos esfuerzos por parte de empresas, administraciones y usuarios, únicamente cuenta con un exiguo 1% de cuota de mercado.

Resulta evidente, por tanto, que para los creadores de malware la plataforma Windows es la más atractiva, por una mera cuestión matemática: es en ella donde está el grueso de usuarios/víctimas de sus creaciones. Evidentemente, en el momento en que una plataforma alcance una notoria cuota de mercado, será inevitable que empiece a llamar la atención de los creadores de malware.

Otro motivo para que Windows sea un objetivo claro es que, aunque hace ya algún tiempo que los de Redmond llevan tomándose muy en serio el tema de la seguridad, no es menos cierto que históricamente no ha sido una gran prioridad para ellos, especialmente si hablamos de aquellos lejanos DOS, Windows 9x, etc. Posteriormente lanzaron la plataforma NT (los primeros Windows NT 3.5 y NT 4) diseñada teniendo en mente, entre otros objetivos, la seguridad y la estabilidad, pero paradójicamente el éxito de sus anteriores sistemas les obligó a “relajar” algunos aspectos relacionados con la seguridad, para hacer más amigable su uso a todo tipo de usuarios, evitando así desanimar a aquellos menos familiarizados con el tema.

En cuanto a la migración de los usuarios de Windows hacia otras plataformas, se trata de una cuestión complicada. Hay un grandísimo número de usuarios que no tienen perfil técnico, y que están acostumbrados a manejar una serie de herramientas en una plataforma que conocen y en la que se sienten cómodos. La mayoría ven más fácil o cómodo el tener siempre presente la amenaza del malware y habituarse a usar lo que al final es, sencillamente, una herramienta más (en forma de software de seguridad), antes que plantearse el cambio a un sistema desconocido.

Además, la propia cuota de mercado de Windows ejerce un efecto de inercia, que lleva a los usuarios a hacerse la siguiente pregunta: “¿para qué voy a instalarme y aprender otro sistema operativo, si a donde quiera que vaya voy a encontrarme un Windows”?

Y por último, otro motivo que ayuda mucho a que Windows siga siendo el más usado, es que suele estar preinstalado en la mayoría de los ordenadores que se compran, lo que (todo hay que decirlo) le da una importante ventaja frente a otros sistemas.

Para finalizar, me gustaría volver al comienzo de este artículo y aportar una reflexión: puesto que la misión de Panda Security es proteger y concienciar, no sería lógico ni coherente que ignorásemos las amenazas sufridas por el sistema que es a día de hoy, guste o no guste, la plataforma de uso mayoritario a nivel mundial, ¿verdad? : -)

Javier Guerrero Díaz
Dpto. Desarrollo – I+D
Panda Security

Published by Javier Guerrero, May 26th 2010

There’s a general feeling that Windows is not a secure operating system, as opposed to others such as Linux or Mac OS. Yet this is not entirely true.

Let me explain. There is no doubt that Windows is the prime target for malware, basically because it has such a huge market share.

However, it implements all security mechanisms that a modern operating system should do, such as access control lists, permissions, user accounts with different privileges, etc. Paradoxically, most of these functions end up doing little good, simply because they’re not used.

I was thinking about this a few days ago, when I read a news item concerning a report by BeyondTrust, detailing how around 90% of the security problems affecting Windows (things like malware, vulnerabilities, etc.) could be reduced or mitigated if people used ‘limited’ user accounts instead of ‘administrator’ accounts.

So what’s all this about ‘limited’ and ‘administrator’ users?

Whenever a person uses a PC, they do so with a user account which identifies them on the operating system and lets them work with it. Basically there are two types of accounts: administrator accounts and limited accounts. The former have unlimited access to system resources: they can install hardware and applications, manage user information (creating or deleting users or changing passwords), and implement any changes affecting the whole system.

A limited user on the other hand has restricted access to certain system resources, such as folders, files, administration tools, installation of applications, etc.

OK, but what has this got to do with malware?

Right, imagine that, without knowing, you run a malicious program on your computer which tries to install and start a Trojan. Normally, an application will use the access permissions of the account with which it was executed, meaning that if this is a limited account, the intruder cannot copy files to the system, edit registry entries, or even start a driver or service.

If, however, malware is run with administrator permissions, it will be able to install itself and do what it wants with respect to the operating system. The application will be authorized to do so.

There is therefore no doubt that although vulnerabilities and other means of bypassing security checks exist, this simple mechanism is a good way of implementing a barrier against the most common and less sophisticated malware, considerably mitigating many problems.

So if these measures are available, why are they not used?

There are several reasons for this:

• Most users have got used to working with their systems as administrators. This is understandable, as it is not so simple dealing with concepts such as permissions, accounts, privileges, access control lists, etc. even for experienced users. So either through a lack of knowledge, force of habit or just convenience, we normally end up just using the administrator account.

• There are applications that do not take the Windows security model into account, and assume that they will be run under an administrator account, and that they will therefore have permissions to perform certain tasks. This in fact means that if they are run from a limited account, they will not operate properly, or they might not even install, and so they require users to work with an administrator account.

• Also, many users like to have complete control over what happens on the system, and feel that the limited user accounts place too many restrictions on them. They are therefore willing to assume the risks in exchange for having more control.

One of the conclusions we can draw from all of this, evidently, is that an operating system is a complex product, and in trying to reach out to as many users as possible, security is often one of the aspects that suffers.

Javier Guerrero Díaz
R+D Department

Publicado por Javier Guerrero, 28 Abril, 2010

Una de las características de Windows más odiadas, temidas y vilipendiadas por cualquier usuario, es el pantallazo azul, también conocido como BSOD, siglas de “Blue Screen Of Death”. Efectivamente, el BSOD es todo un incordio, y no sólo para el usuario sino también para nosotros, los desarrolladores : -)

En este artículo explicaremos de forma relativamente sencilla qué son los BSOD y qué los puede provocar, pero por desgracia no podremos garantizar la forma de evitarlos, algo prácticamente imposible debido a su propia naturaleza.

Una cuestión de error

Cualquier software que se ejecuta en un ordenador, ya sea una aplicación, un controlador de dispositivos, un antivirus, o el mismo sistema operativo, es susceptible de fallar, por los motivos más diversos: un error de programación, una situación de corrupción de archivos, un escenario no contemplado por el código, o incluso algún problema de hardware. Algunos errores son considerados como “leves” (entendiendo el término “leve” como “asumible por el software que lo sufre”) y otros de mayor importancia e incluso críticos. Los BSOD pertenecen a este último grupo de errores.

Normalmente, cuando un error “crítico” se produce a nivel de aplicación, en lo que conocemos como la “capa de usuario”, la situación suele manejarse sin problemas, apareciendo algún mensaje de error y finalizando el proceso en cuestión, como puede apreciarse en esta pantalla:

Mensaje de error en Windows 7

Sin embargo, cuando el error crítico ocurre en el nivel más “interno” del sistema operativo, en lo que conocemos como la “capa de kernel”, la cosa es muy diferente, ya que se está produciendo una situación anómala en la parte más frágil de todo el sistema operativo, lo que establece un escenario de inestabilidad y le impide continuar con garantías su flujo de proceso. Es entonces cuando el sistema nos lanza su pantalla azul, que es la forma que tiene Windows de notificar esta circunstancia.

¿Se puede sacar algo en claro de un BSOD?

En un pantallazo azul, el sistema intenta aportar cierta información sobre el problema; lo malo es que su contenido es tan técnico y tan específico y dependiente del error en cuestión, que para cualquier usuario sin los conocimientos adecuados, no es más que un galimatías sin sentido.

No obstante, algo sí que se puede sacar en claro, y es el nombre del módulo que ha causado (o en cuyo contexto se ha producido) el fallo. En la siguiente pantalla de ejemplo hemos remarcado en rojo el culpable del error:  driver “myfault.sys”:

Ejemplo de BSOD

Para cualquier usuario este último dato, sin ser fidedigno al cien por cien, es el más útil ya que nos aporta una pista de dónde puede estar la causa del problema.

Por ejemplo, si obtenemos un pantallazo azul que haga referencia al driver de la tarjeta gráfica, eso nos permite descartar otras posibilidades y centrarnos en dicho componente; es posible que se deba a un error de programación en el controlador que maneja el dispositivo, pero también el BSOD puede ser realmente un síntoma de posible problema físico en dicho dispositivo.

¿Por qué tengo que reiniciar después de un BSOD?

Es razonable preguntarse por qué Windows no ignora el error y continúa el flujo de ejecución del kernel. Pues sencillamente, para evitar males mayores. El sistema prefiere ir sobre seguro y no arriesgar en una parte tan sensible como es el kernel del sistema operativo.

Algunos datos curiosos o poco conocidos

Para terminar este artículo, me ha parecido interesante comentar algunos aspectos curiosos sobre los BSOD.

¿Sabías que….?

• En contra de lo que muchos pueden pensar, Microsoft se toma muy en serio los errores que se producen en el sistema. Tienen una enorme infraestructura para la recogida de errores, y un departamento dedicado exclusivamente a estudiar los informes de problemas enviados por los usuarios, y las cifras que maneja la empresa son mareantes: se analizan los errores remitidos por una cantidad brutal de máquinas, cuya media es superior a 400 millones de PCS.

• Las conclusiones de dichos estudios son bastante sorprendentes: por ejemplo, la inmensa mayoría de BSODs son causados por drivers (ya sean filtros de monitorización o auténticos controladores de dispositivos) pertenecientes a productos ajenos a la compañía, incluso por ejemplares de malware que se ejecuta en la capa kernel. El resto son producidos por fallos de hardware, y una mínima parte son bugs del propio sistema operativo. De esto se deduce que Windows por sí mismo no es tan inestable como habitualmente se cree.

• Existe la posibilidad de que el módulo cuyo nombre se muestra en el BSOD no sea el auténtico causante del problema. Efectivamente, no es inusual que la responsabilidad de un error crítico sea achacada a drivers cuyas especiales características de funcionamiento les hace estar “en el peor sitio y en el peor momento”; en la Unidad de Interceptación de Panda ya nos hemos encontrado varias veces con esta situación.

• Es perfectamente posible que, como usuario, nunca hayas visto un pantallazo azul en tu sistema, pero ¿en alguna ocasión no te ha pasado que el PC se ha reiniciado solo? Pues eso significa que has experimentado un error crítico, sólo que no has podido verlo porque tu Windows está configurado para reiniciarse automáticamente ante un error crítico. Este comportamiento es configurable desde el Panel de Control en la opción Sistema desde la pestaña Inicio y recuperación utilizando la opción Reiniciar automáticamente.

Pues hasta aquí el artículo sobre los tan odiados pantallazos azules.

Si tenéis dudas o comentarios, este blog queda a vuestra entera disposición.

Un saludo,
Javier Guerrero
Dept. Desarrollo I+D

Blue screens, also known as BSODs (Blue Screen of Death), are one of the aspects of Windows that users most loathe, fear and despise. In fact, we dare say they are annoying for users and developers alike : -).

In this post we will explain in a fairly simple way what BSODs are and their causes. Unfortunately, we will not be able to provide instructions on how to prevent them, as -due to their nature- that is virtually impossible.

A question of error

Any software running on a computer (applications, device controllers, antivirus programs or operating systems) can fail for several reasons: a programming error, a file corruption, an unexpected scenario or a hardware problem. Some errors are considered ‘minor’ (‘minor’ meaning ‘can be supported by the affected software’), while others are considered more important or even critical. BSODs belong to this last group.

Usually, when ‘critical’ errors occur at application level in what is known as the ‘user layer’, the situation is resolved without further problems: the error message is displayed and the corresponding process is terminated, as can be seen in the following image.

However, when critical errors occur at a more ‘internal’ level of the operating system – in what is known as the ‘kernel layer’ – things are different. This involves an anomalous situation in the most fragile part of the operating system, which causes instability and prevents normal functioning. The system launches a blue screen which is Windows’ way of reporting the problem.

Can any information be obtained from BSODs?

The system tries to provide information about the problem via blue screens. The downside is that the content is highly technical, very specific and depends on the error. Consequently, users without the necessary technical knowledge would not understand it.

However, the name of the module that caused the error (or the context) can be obtained. In the image below we have marked the cause of the error in red: driver “myfault.sys”:

BSOD

Although this data is not one hundred percent reliable, it is highly useful for users, since it provides a clue as to the source of the problem.

For example, if you get a blue screen referring to the graphic card driver, you can reject other possibilities and focus on that component; it could be due to a programming error in the device controller, or even a physical flaw in the device.

Why must computers be restarted after a BSOD?

It is normal to wonder why Windows doesn’t ignore the error and continue with the kernel execution flow. The answer is to avoid greater consequences. The system prefers to act safely and not run any risks in such a sensitive element as the operating system kernel.

Interesting data

To finish this post, I would like to reveal some interesting aspects about BSODs.

Did you know….?

• Despite what some people may think, Microsoft takes system errors very seriously. It has a large infrastructure to collect errors and a department which is exclusively dedicated to studying problem reports sent by users. Microsoft figures are surprising; on average, Microsoft analyzes errors received from over 400 million PCs.

• The conclusions drawn from these studies are astonishing: for example, most BSODs are caused by drivers (monitoring filters or authentic device controllers) belonging to products from other companies, including malware running on the kernel layer. The rest are due to hardware problems, and a few correspond to bugs in the operating system themselves. Consequently, Windows is not as unstable as it may seem.

• It is also possible that the module displayed in the BSOD may not be the real source of the problem. In fact, it’s not unusual for drivers to be blamed, when -due to their special features- they just happened to be ‘in the wrong place at the wrong time’. Panda’s Interception Unit has seen this happen many times.

• As a user it is possible for you never to have seen a blue screen on your system, but hasn’t your PC ever restarted on its own? That means a critical error occurred but you didn’t notice it because your Windows operating system was configured to automatically restart under critical errors. This action can be configured in Control Panel -> System -> Start and recovery, by using the Automatic restart option.

Hope this article gives you a little insight into blue screens.

And remember, if you have any queries or comments, this blog is at your disposal.

Best regards,
Javier Guerrero
Development Dept.  R+D