Resultados de pruebas independientes – Servidor de seguridad de Internet

Volver a la página principal

Servidor de seguridad – resistente protección bidireccional

Su servidor de seguridad personal de Internet debe protegerle contra las amenazas entrantes, como los piratas informáticos, y contra los ataques salientes, como los caballos de Troya, que intentan transmitir al exterior sus datos personales. Se realizaron las 20 pruebas diferentes siguientes con el software gratuito independiente de dominio público Firewall Leak Tester.

En comparación con Norton, McAfee y Microsoft, ZoneAlarm firewall fue el único servidor de seguridad personal de Internet que detuvo los 20 ataques.

Comparación de resultados de la prueba de servidor de seguridad

Pruebas
(haga clic nombre más información)
ZoneAlarm
Norton®
McAfee®
Microsoft®
X
X
 
 
Tooleaky abre el explorador web predeterminado con una línea de comandos. Si el explorador web tiene permitido el acceso al puerto 80, puede transmitir a una dirección remota todos los datos, incluidos los números de sus tarjetas de crédito y sus contraseñas. Si el servidor de seguridad no supera la prueba, significa que no controla las aplicaciones iniciadas por otras aplicaciones.
X
 
X
 
FireHole transmite datos a un host remoto por medio del explorador web predeterminado. Para ello, instala un archivo DLL en el equipo, en el mismo espacio de procesos que una aplicación de confianza, lo que aumenta sus posibilidades de tener acceso a Internet sigilosamente. Si el servidor de seguridad no supera la prueba, significa que no controla las aplicaciones iniciadas por otras aplicaciones y que, además, es vulnerable a la inyección de DLL.
Leaktest comprueba si algo tan sencillo como cambiar el nombre de un programa dañino por el de una aplicación autorizada puede permitirle atravesar el servidor de seguridad. Si no se supera la prueba, significa que el servidor de seguridad confía en las aplicaciones por su nombre (caracteres) en lugar de utilizar una huella digital encriptada, por ejemplo, MD5 (algoritmo Message-Digest 5), utilizado ampliamente en la función hash criptográfica con un valor de hash de 128 bits.
X
 
 
 
En XP, todas las peticiones de DNS procedentes de las distintas aplicaciones se transmiten al cliente DNS (SVCHOST.EXE). Este procedimiento puede utilizarse para transmitir datos a un equipo remoto, creando una petición de DNS especial que pase desapercibida para el servidor de seguridad. DNStester utiliza esta clase de petición de DNS recurrente para colarse por el servidor de seguridad. Si la prueba no se supera, se debe a que el servidor de seguridad comprueba las peticiones de DNS con un retraso excesivo.
X
 
 
 
En general, cuando una aplicación obtiene acceso a Internet, el servidor de seguridad recupera el PID principal por medio de la API de Windows. Ghost cambia el PID, cerrándose y volviendo a iniciarse, para seguir enviando datos. Si no se supera la prueba, significa que la vigilancia del acceso a la red de principales/secundarios que lleva a cabo el servidor de seguridad es demasiado lenta.
X
 
 
 
Muchos servidores de seguridad ahora pueden detectar las llamadas directas a Internet Explorer de los procesos ShellExecute y CreateProcess y los parámetros que le pasan. Para evitar la detección, Surfer crea un escritorio oculto y ejecuta IE desde él, sin una dirección URL, es decir, sin acceso a la red. A continuación, ejecuta otra instancia de sí mismo y cierra la primera. Después utiliza el protocolo DDE (Intercambio dinámico de datos), un protocolo que se aplicaba antiguamente al intercambio de datos entre procesos (parecido a OLE). Netscape ha desarrollado una interfaz DDE para su navegador y para todos los más importantes, incluido IE. De esta forma los parámetros se suministran a IE por medio de DDE, no mediante una llamada directa durante su ejecución.
Yalta realiza una prueba clásica y otra avanzada. En la prueba clásica, intenta enviar paquetes UDP a través de los puertos que normalmente están permitidos, por ejemplo, 53 (DNS), 21 (FTP). En la prueba avanzada, ejecuta un controlador que envía paquetes directamente a la interfaz de red, por debajo del nivel de TCP/IP. Si la prueba no se supera, significa que el servidor de seguridad puede permitir el paso de tráfico no iniciado por el usuario a través de los puertos preconfigurados.
X
X
 
 
OutBound intenta enviar directamente a la red paquetes TCP que tienen habilitados algunos señalizadores, para intentar eludir el servidor de seguridad. Muchos servidores de seguridad no filtran los paquetes de esta clase para reservar recursos del sistema y capacidad de la CPU. Si esta prueba no se supera, se debe a que el servidor de seguridad no controla los niveles inferiores al protocolo IP de Windows y/o a que inspecciona únicamente las conexiones nuevas.
X
 
 
 
Copycat inyecta código directamente en un explorador web (sin crear un subproceso adicional) para evitar su detección por el servidor de seguridad. Si la prueba no se supera, se debe a que el servidor de seguridad es vulnerable a la inyección de procesos.
X
 
X
 
Thermite inyecta directamente un código en el proceso de destino, creando un subproceso malicioso adicional en dicho proceso, que es totalmente invisible para algunos servidores de seguridad. Si la prueba no se supera, se debe a que el servidor de seguridad es vulnerable a la inyección de procesos.
PCAudit inyecta un código en forma de DLL en aplicaciones autorizadas. Si la prueba no se supera, se debe a que el servidor de seguridad es vulnerable a la inyección de DLL.
X
X
 
 
PCAudit2 utiliza un método de inyección de DLL diferente que el aplicado por la primera versión de PCAudit para atravesar los servidores de seguridad que pueden bloquear a PCAudit. Si no se supera la prueba, significa que el servidor de seguridad es vulnerable a la inyección de DLL o que su función de protección de la inyección de DLL no es eficaz.
WallBreaker obtiene acceso a Internet ejecutando explorer.exe. Incluye una variante de la prueba que inicia cmd.exe, que a su vez ejecuta explorer.exe. En otra prueba, Wallbreaker programa una tarea mediante "AT.exe", que a su vez ejecuta la tarea por medio de "svchost", para crear en el directorio del usuario un archivo de procesamiento por lotes (con la extensión ".bat") con un nombre de archivo aleatorio.
MBtest envía paquetes directamente a la tarjeta de red para intentar eludir el control del servidor de seguridad. Para conseguirlo, transmite diversas clases de paquetes, con tamaños, protocolos y tipos diferentes. En teoría, MBtest podría copiar los archivos necesarios por sí solo sin necesidad de reiniciar el equipo. Si no se supera la prueba, se debe a que el servidor de seguridad probablemente controla el tráfico de red de alto nivel, pero no el de bajo nivel.
X
 
X
X
AWFT realiza 10 pruebas, entre ellas las siguientes: (1) intenta cargar una copia del explorador predeterminado y le aplica un parche en la memoria, antes de su ejecución, para crear un subproceso en una copia cargada del explorador; (2) crea un subproceso del Explorador de Windows; (3) intenta cargar una copia del explorador predeterminado desde el Explorador de Windows y le aplica un parche en la memoria antes de ejecutarlo; (4) ejecuta una búsqueda heurística de proxies y otro software autorizado, para obtener acceso a Internet a través del puerto 80, y después carga una copia y le aplica un parche en la memoria, antes de ejecutarlo desde un subproceso del Explorador de Windows; y (5) ejecuta una búsqueda heurística de proxies y otro software autorizado, para obtener acceso a Internet en el puerto 80, y después solicita al usuario que elija uno de los proxies para crear un subproceso del proceso seleccionado.
X
 
 
 
Breakout envía una dirección URL a la barra de direcciones de Internet Explorer (IE) por medio de la API de Windows 'SendMessage' y la ejecuta. Si la prueba no se supera, se debe a que el servidor de seguridad no comprueba los “mensajes” enviados a las ventanas de aplicación.
X
 
 
 
Breakout2 crea en el equipo local una página HTML que señala a la dirección URL de destino. A continuación, activa Active Desktop y establece su página HTML como el papel tapiz del escritorio. Si la prueba no se supera, se debe a que el servidor de seguridad no comprueba el uso inadecuado de Active Desktop.
X
 
 
 
CPIL busca explorer.exe y le aplica una revisión en la memoria. A continuación, intenta transmitir datos con la versión infectada de explorer.exe a servidores remotos utilizando el explorador predeterminado. Si la prueba no se supera, significa que el servidor de seguridad no controla correctamente la inyección de código sospechoso.
X
 
X
 
En lugar de modificar directamente la memoria de proceso de destino, Jumper hace que el destino cargue su DLL ajena por sí solo. Para lograrlo, Jumper escribe un valor en la entrada del Registro “AppInit_DLLs” y detiene la ejecución de explorer.exe, que Windows vuelve a cargar automáticamente. Una vez cargada, la DLL de Jumper modifica en el Registro la entrada de la página de inicio del Explorador de Internet (IE) e introduce los datos que desea transmitir y ejecuta IE. Si la prueba no se supera, se debe a que el servidor de seguridad no controla las entradas fundamentales del Registro.
X
X
 
 
PCFlank utiliza la automatización de OLE para averiguar cómo responde el servidor de seguridad a una situación en la que un programa intenta administrar el comportamiento de otro programa (de confianza). Si la prueba no se supera, significa que el servidor de seguridad tiene fugas y que el usuario debe tomar medidas adicionales para asegurar su equipo.

Nota: Estas pruebas se realizaron con freeware independiente de acceso público. Se utilizaron las siguientes versiones de los productos: ZoneAlarm® Internet Security Suite 7.0 beta1, Norton Internet Security Suite v7.1, McAfee Internet Security v9 Trial, MS Windows Live OneCare v1.1.1067.8 con Windows Defender. Esta información se considera veraz según los estudios realizados en la semana del 26 de octubre de 2006, si bien la lista de pruebas de fugas no es exhaustiva. Las pruebas se llevaron a cabo en Windows XP SP2 con todas las actualizaciones de Microsoft. El control de programas de ZoneAlarm® estaba establecido en el nivel máximo, que es el ajuste elegido por la mayoría de los usuarios de forma predeterminada tras un corto periodo de aprendizaje.

Para que las pruebas de fuga del servidor de seguridad fueran precisas, todos los productos de seguridad tenían desactivada la protección antivirus (pero no el servidor de seguridad). Se hizo así porque la función antivirus de algunos productos desactivaba las pruebas de fugas para determinadas amenazas, pero sin que en realidad se bloquearan las amenazas, lo cual podría producir resultados inexactos de la prueba de fugas.

Más información

Detiene más ataques que ningún otro producto
señal de stop Vea cómo ZoneAlarm le protege de las amenazas más importantes.

Más información

Premios de ZoneAlarm
premio De diversas publicaciones que realizan sus propios ensayos, evaluaciones y revisiones.

Más información

ZoneAlarm Internet Security Suite 2009
Internet Security Suite 2009 Impide que el software malicioso infecte su PC gracias a la multitud de niveles de protección que ofrece.
Más información