jueves, 18 de octubre de 2012

Comodo CIS 6.0 review



Lo venían anunciando desde hace tiempo pero ya está disponible la versión Beta 6.0 del antivirus de Comodo -CIS- Esta versión ya es compatible con Windows 8 así que toca probarla en mi portátil.

Un review de la versión actual lo tenéis aquí.



INSTALACIÓN

La descarga la podéis hacer desde aquí y se bajará un ejecutable de 125 MB.
La instalación es sencilla y primero extraerá los archivos necesarios a una carpeta temporal.


A continuación iniciará propiamente la instalación pudiéndose realizar en español.


La instalación es sencilla pero hay que tener en cuenta que por defecto instala 3 componentes. Uno es el antivirus, otro el firewall y por último un navegador de Internet basado en Firefox denominado   Dragon. Si no queréis instalarlo, antes de pulsar en Aceptar e instalar deberéis pulsar el acceso al Instalador personalizado.


Esto os llevará a la siguiente pantalla.


En la primera pestaña tenemos la selección de componentes y las tres opciones marcadas por defecto.
En la siguiente pestaña tenemos las opciones de configuración con el comportamiento de la visualización de las alertas. Si no habéis utilizado previamente Comodo CIS, es conveniente que la dejéis marcada porque de lo contrario os aparecerán demasiados mensajes de aviso.


Por último, la pestaña de ubicación de archivos os permitirá elegir la carpeta donde se instalará la aplicación.


Con todos las opciones configuradas, volveremos a la pantalla de instalación pulsando sobre el botón de Atrás. Ahora sí que podremos aceptar la instalación. Recordar que es una beta :-)


La instalación tarda poco menos de 5 minutos pero cuando instala los controladores puede parecer que se queda bloqueado el equipo. Esto es normal y debemos esperar a que finalice el proceso.



PRIMERA EJECUCIÓN

Una vez completada la instalación no será necesario reiniciar el equipo y CIS realizará la actualización de la base de datos. La primera vez, dependiendo de la conexión que tengáis puede tardar varios minutos pero eso sólo ocurrirá la primera vez. El resto de actualizaciones son diferenciales por lo que tardará unos segundos.


También veremos otras pantallas como la del Widget. Este lo podemos ocultar o dejar siempre por encima de todas las aplicaciones y nos mostrará el estado general del antivirus/firewall, el tráfico de datos de la red -pero sólo de la conexión a Internet, no la Intranet-, el número de  tareas ejecutándose y la posibilidad de abrir los Web Browser en el SandBox, una especie de máquina virtual por si queremos tener una navegación más segura -veremos que el borde de la ventana de esa aplicación está verde-


También tenemos unos iconos para acceder directamente al Twitter o al Facebook corporativo de CIS.

Si estamos conectados a una red y hemos instalado el componente de firewall, al poco de inciarse CIS, se mostrará una ventana en la que nos informará de que se ha detectado una red junto con el nombre de esta y la IP y máscara asignada


En este momento deberemos indicar si se trata de una red de casa, la del trabajo u una pública.

Como puede apreciarse, a pesar de instalarlo en español, la mayoría de textos están en inglés todavía así que habrá que esperar a posteriores beta para tener la traducción completa.

Lo que sí me he dado cuenta es que CIS no detiene el firewall de Windows por lo que tendremos que hacerlo manualmente desde el panel de control.

Por último, es posible que en el primer inicio o después del primer reinicio, nos aparezca una ventana parecida a esta:


Se trata de publicidad corporativa del antivirus -que acabamos de instalar- y de un servicio de ayuda denominado GeekBuddy. Si no queremos que nos aparezca de nuevo marcamos la casilla Do not show this window again y cerramos.


INTERFAZ DE USUARIO

Esta es la pantalla que se muestra cuando abrimos CIS.


Es mucho más sencilla que la que Comodo nos ofrecía en ediciones anteriores y en ella podemos ver en el centro una imagen que nos muestra el estado de la suite de seguridad y un mensaje indicando si está todo bien o no -en este caso faltaba actualizar la base de datos-.

En la parte superior tenemos 4 iconos que nos llevan a Internet a la versión del antivirus para Android, a la asistencia remota, recomendar a amigos o la ayuda.

En la parte inferior tenemos acceso directo a la exploración de nuestro equipo, a la actualización de la firma de las bases de datos, al Virtual Kiosk, al espacio compartido Shared Space y al Task Manager.

Si bien han mejorado el acceso a cosas básicas, lo que han complicado es el acceso a la configuración, no habiendo ningún botón de acceso directo para hacerlo. Si queremos modificar las opciones de configuración primero deberemos seleccionar Tasks.





FUNCIONAMIENTO BÁSICO

CIS tiene varios servicios activos para proteger a nuestro equipo a diferentes niveles. Por una parte su antivirus trabaja en tiempo real interceptando todas las ejecuciones y verificando si el archivo es una amenaza comparando su 'huella' con la de su base de datos.
En caso de tratarse de nuevos virus que todavía no aparecen en la base de datos, CIS también posee un potente analizador de comportamiento que cataloga las amenazas no por estar en la base de datos, sino por las acciones que realizan. Este servicio se denomina HIPS -sistema de prevención contra intrusión- y está dentro de lo que ellos denominas Defense+.
Por último, su firewall es uno de los más premiados y nos ofrece protección frente ataques a través de la red.


CONFIGURACIÓN

Antes de analizar con detalle cada uno de los servicios disponibles conviene echar un vistazo a las opciones. Estas quedan un poco ocultas y deberemos acceder a ellas desde la ventana Task antes descrita.

Si hacemos clic en Advanced Tasks esta es la pantalla que visualizaremos:


Aquí encontraremos unas herramientas que más tarde comentaré pero la opción que nos interesa es Open Advanced Settings.


Desde este panel tenemos el control de todo CIS pudiendo configurar todos los aspectos del programa.


General settings

Engloba las opciones más generales del programa como son la visualización, actualización o el log de la aplicación

User interface

Este menú nos permite modificar el aspecto de CIS y algunas opciones de visualización o de notificaciones. Por ejemplo si desmarcamos las opciones de Show... evitaremos que CIS nos muestre mensajes en pantalla del Centro de mensajes notificaciones. Estas conviene dejarlas marcadas pero podemos desactivar la de bienvenida -on startup-.
La opción del widget permitirá mostrar u ocultar el widget en el escritorio. Esta opción también puede modificarse desde la barra de inicio.


Y en caso de indicar que lo muestre, nos visualizará el widget de estado y actividad de CIS.



Todas estas opciones podemos protegerlas con contraseña activando y configurando la opción Enable Password Protection.

Como puede apreciarse, también es posible elegir el idioma desde aquí, pero casi todos los textos de esta beta están en inglés.



Updates

Esta opción permite configurar cómo y con qué frecuencia queremos que CIS se actualice. No sólo la base de datos de los virus sino también nuevas versiones del software.
Tiene guiños a Tablets y dispositivos móviles con sistema operativo Windows XP, Vista, 7 u 8 ya que podemos desactivar las descargas si estamos tirando de batería o si estamos conectados a según qué red.
Por supuesto, si tenemos una conexión a través de un Proxy también podemos configurarlo.


Logging

Podemos activar/desativar y configurar el modo en que CIS registra todos los eventos.


Si queremos ver el completo log que CIS  guarda, sólo tenemos que ir a General tasks y pulsar sobre la opción View Logs.


Esta es la ventana de registros donde podremos elegir qué evento queremos ver y en qué fecha.


Configuration

CIS tiene tres modos de compotamiento preconfigurados: Internet Security, Proactive Security y, Firewall Security. Cada uno de estos modos pueden configurarse de forma independiente en el apartado Security Settings -ver más abajo- y desde esta pantalla podemos conmutar de un modo a otro.


Antiguamente podíamos conmutar de modo desde el icono que CIS muestraba en la barra de inicio pero ahora debemos hacerlo desde aquí.

También es posible importar o exportar la configuración de cada modo pero para ello deberemos pulsar en la flechita de la parte inferior.


Sería preferible que no se ocultaran estas opciones y que el botón derecho también permita realizar estas acciones

Security settings

Todas las opciones de seguridad de CIS pueden configurarse desde aquí. Hay que recordar que tenemos tres modos de comportamiento -ver arriba- y lo que ajustemos sólo modificará la configuración actualmente activa.

Antivirus

Tenemos tres pestañas de configuración

Realtime Scan

Esta opción nos permite configurar el comportamiento del análisis en tiempo real -en background-


Desde este panel podemos desactivar completamente esta función, optimizar el rendimiento o especificar acciones como explorar la memoria justo al arrancar el equipo, no mostrar alertas o explorar también archivos comprimidos. En esta opción, por defecto sólo está activada la extensión .jar pero conviene activar otras como zip, 7z o rar.
Otros parámetros nos permiten modificar el tiempo en que se muestran los avisos en pantalla, el tamaño máximo de los archivos a analizar o de los scripts y finalmente el nivel de heurística del análisis. Esto último es recomendable activarlo porque permite detectar los virus polimórficos que 'mutan' en el tiempo. No obstante, poner un nivel alto, puede suponer que se produzcan falsos positivos.


Scans

Permite definir y ejecutar un tipo de exploración de archivos



Por defecto hay creados dos scans pero modemos editar, borrar o crear nuevos perfiles. Así, podremos indicar qué queremos scanear: podemos elegir entre ficheros, carpetas, áreas -ver abajo- e incluso una máquina virtual que tengamos instalada.



Otros parámetros nos permiten optimizar la exploración, descomprimir archivos, utilizar la nube para buscar nuevas amenazas, actualizar antes de explorar, establecer el nivel de heurística, etc.


Por último podemos planifica cuándo queremos ejecutar este perfil de exploración:


Habiendo opciones tanto temporales como de estado del ordenador -funcionando sin batería, cuando no está haciendo nada-

Exclusions

Este menú nos permite definir qué archivos o carpetas deseamos omitir de la acción de CIS. Por ejemplo, algunos cracks de aplicaciones, a menudo son tratadas como amenazas cuando no lo son. Desde aquí podemos ver, crear y eliminar estos archivos/carpetas.


La exclusión de aplicaciones sólo se tiene en cuenta en la exploración en tiempo real mientras que la de carpetas también incluye la exploración manual y la programada.

Defense +

Uno de los aspectos más notables de Comodo CIS es el análisis de comportamiento o HIPS. Esta y otras tecnologías se agrupan bajo lo que ellos denominan Defense + y como su nombre indica es una línea de defensa adicional que complementa a la detección tradicional de amenazas.

HIPS

Host Intrusion Protection System es la tecnología que permite detectar el comportamiento de una aplicación y en consecuencia, catalogarla como amenaza aunque no haya sido detectada por el antivirus. Esto es muy útil frente a nuevos virus que todavía no han sido detectados y que, por tanto, no están en la base de datos.


ATENCIÓN: por defecto el HIPS esta desactivado por lo que es recomendable venir a esta pestaña y activarlo.

Una vez activado podremos definir el comportamiento dentro de 4 rangos de menos a más: Training mode, Clean PC mode, Safe mode -por defecto- y Paranoid mode. El modo Training simplemente 'observa' y no previene frente a ninguna acción 'extraña', únicamente aprende el comportamiento de la aplicación. Esto sólo es recomendable si estamos ejecutando alguna aplicación que sabemos a ciencia cierta que es segura y no nos interesa que HIPS nos esté mostrando alertas continuamente. Por el contrario, en el otro extremo, el modo Paranoid no deja pasar ni una y nos previene de cualquier acción que HIPS esté monitorizando. Las dos opciones intermedias permitirán alertarnos sólo de nuevos comportamientos de aplicaciones que no hubieran sido analizadas previamente.

Las funciones que podemos filtrar para que monitorice las podemos activar pulsando en la opción Monitoring Settings.


Además de la monitorización, también podemos establecer el tiempo durante el cual se muestran las alertas, si estas se mostrarán o no -en cuyo caso podemos elegir qué debe hacer HIPS automáticamente, un modo adaptativo por si nuestro equipo tiene pocos recursos -memoria o un método mejorado de protección -aunque no lo pone es para sistemas x64-


HIPS Rules

Esta opción nos permite ver las reglas que se aplican para HIPS. Si deseamos ver las opciones, deberemos hacer clic en la flecha de la parte inferior.



Rulesets

Cada una de las reglas definidas para HIPS se las trata según un conjunto de reglas -Treat as- que podemos definir aquí.


Mediante las opciones de la barra inferior podemos crear, borrar o editar reglas ya existentes. Por defecto tenemos estas 4: Aplicación de confianza, Aplicación del sistema, Aplicación aislada y Aplicación limitada.

Si editamos una cualquiera tendremos una pantalla como esta:


Como puede apreciarse, el conjunto de eventos a controlar y las acciones a realizar son numerosas distinguiéndose entre Access Rights y Protection Settings.


File Protection

Esta opción nos permite proteger o bloquear un fichero de forma que ninguna aplicación pueda modificarlo.


Registry Protection

De forma similar a la anterior opción, esta nos permite asegurar claves del registro para que no puedan ser modificadas por aplicaciones no autorizadas.


COM Protection

Similar a las dos opciones anteriores pero con los interfaces COM.



Behavior Blocker

El bloqueo de comportamiento permite aislar una aplicación y ejecutarla en un entorno seguro denominado Sandbox de forma que posibles cambios realizados por la amenaza, no afecten a nuestro sistema.



Si lo activamos -Auto-sandbox-, aquellas aplicaciones desconocidas, serán ejecutadas dentro de este espacio virtual y tratadas como previamente hayamos definido -en este caso Partially Limited- El grado de bloqueo va desde este Partially Limited hasta Blocked.

Podemos indicar que automáticamente detecte instalables y nos muestre alertas de elevación de privilegios o definir excepciones en el bloqueo de comportamiento.
También podremos indicar que utilice métodos heurísticos o que nos prevenga de la inyección de código.

Atención: si activamos esta función, no nos preguntará qué hacer con las aplicaciones desconocidas y directamente las ejecutará en el SandBox. Si además tenemos el nivel de bloqueo alto, no se ejecutará correctamente y no sabremos por qué. Si sospechamos que pueda ser esto, simplemente desactivar esta función y volver a ejecutar la aplicación -siempre que sepamos que es segura, claro-

Sandbox

Sandbox es un entorno virtual en el que podemos ejecutar aplicaciones sospechosas sin temor a que dañen el equipo. Desde aquí podemos añadir aplicaciones manualmente y asignarles niveles de restricción.



Firewall

Otro componente que proporciona CIS es un completo firewall.
Desde esta pestaña podremos configurar todas sus funciones.

Firewall settings

Esta pantalla permite configurar las funciones más importantes.


Además de poderlo desactivar, podemos indicar que no aparezcan mensajes de alerta en cuyo caso deberemos indicar la acción por defecto cuando se detecte una actividad anormal.
También podemos fijar el nivel de frecuencia de alertas o el tiempo en el que se visualizará el mensaje en la pantalla.

En el apartado avanzado podemos realizar filtro de IPv6 o bloquear tráfico IP fragmentado. Esto y el filtro de tráfico Loopback conviene tenerlos desactivados si estamos en una red corporativa pues podría bloquear las conexiones.

Application rules

Todas las aplicaciones que intentan acceder a la red son interceptadas por CIS y catalogadas según un perfil que nosotros elijamos. El listado de estas aplicaciones y el filtro otorgado lo podemos ver y editar aquí.


Global rules

En este apartado se definen las reglas de aplicación del firewall globales. Esta reglas prevalecen por encima de todas las demás.



Rulesets

Podemos crear reglas personales para después asignarlas a las aplicaciones.


Network Zones

Las redes que CIS haya detectado aparecerán aquí. Tanto las que hayamos permitido como las que hayamos bloqueado.



Portsets

En esta ventana podemos ver los puertos definidos en nuestro equipo. Desde aquí podemos ver y editarlos para crear nuevos puertos o eliminar los presentes.



File Rating

CIS permite activar una función que analiza los archivos desconocidos en la nube y los cataloga según el resultado. Para activarlo simplemente deberemos marcar la opción Enable Cloud Lookup.


Desde estas opciones también podemos definir en qué compañías de software podemos confiar, el listado de las aplicaciones catalogadas como seguras...


... o las desconocidas.





FUNCIONAMIENTO

La configuración por defecto de CIS es más que suficiente para protegernos pero con las opciones arriba descritas podremos activar determinadas funciones avanzadas. Eso sí cuanto más restricciones impongamos, mayor número de mensajes de alerta podremos recibir.

Protección en tiempo real

La protección en tiempo real tiene tres barreras, el antivirus, el firewall y el análisis de comportamiento. Estas barreras trabajan activamente sin que nosotros lo notemos. Bueno, lo notaremos en caso de que detecte alguna amenaza.

Estas son las de alertas del antivirus...



... del firewall...



y del Behavior Blocker


En el primer caso, si CIS detecta un virus, nos permitirá eliminarla -Clean- o ignorar el aviso -Disgread-. Esto último es útil si se trata de una falsa amenaza en cuyo caso nos dejará ignorarla una vez o para siempre.

En el caso del firewall cuando se detecta un intento de acceso a la red no autorizado, nos mostrará las opciones de permitir -Allow-, bloquear -Block- o catalogar como... -Treat as...-. En el caso de bloquear podremos elegir si sólo bloqueamos o bloqueamos y además finalizamos la aplicación. En el caso de catalogar como..., podremos elegir el tipo de reglas a aplicar:


En estos casos, si marcamos la casilla de Remember my answer, no nos volverá a preguntar si se produce
la misma alerta y realizará la misma acción que hubiéramos indicado.

Si la alerta proviene del Behavior Blocker nos permitirá ejecutar la aplicación sin restricciones, aislado -con la protección que hubiéramos definido en la configuración- o bloquear completamente.
Nuevamente podemos decirle a CIS que recuerde nuestra acción para que no nos vuelva a preguntar en caso de producirse la misma alerta.


Análisis bajo demanda

Además del análisis en tiempo real, podemos realizar exploraciones bajo demanda de nuestro equipo.
Para ello, desde el menú principal podemos seleccionar Scan y nos aparecerá la siguiente pantalla



Disponemos de 4 opciones. La primera, Quick Scan. permite una exploración rápida de los archivos más vulnerables. Mediante Full Scan exploramos todo el disco local. La opción Custom Scan permite seleccionar manualmente qué queremos explorar y finalmente Rating Scan nos explora las áreas del disco más frecuentemente infectadas junto con la memoria y verifica en la nube los archivos analizados para evaluar el riesgo.

Un test rápido puede llevar a CIS unos 10 minutos consumiendo entre un 50 y un 70% de los recursos del micro.





Un test completo le llevó a CIS poco más de 2 horas aunque en esta ocasión los recursos del procesador eran más altos llegando en muchas ocasiones casi el 100% lo que afectaba al rendimiento.


Las amenazas las muestra de la forma que se aprecia en la imagen y es posible elegir la acción que queremos realizar con cada una de ellas.
En cualquier de los análisis podemos pausar la exploración y también es posible marcar una casilla que nos permitirá apagar el equipo en caso de finalizar el análisis y no encontrar ninguna amenaza.



Acciones desde barra de inicio.

CIS permite acceder al estado de cada uno de los módulos de seguridad desde la barra de inicio de Windows. 
Haciendo clic con el botón derecho del ratón encima del icono de CIS podremos activar o desactivar cada una de las barreras.
Cuando lo hacemos, CIS nos preguntará durante cuánto tiempo queremos desactivarlo. Pudiendo elegir entre 15, 30, 60 minutos o permanentemente.


Hubiera estado bien añadir también otra opción que permitiera apagarlo hasta el siguiente reinicio del equipo.

También podemos entrar en modo juego -que lo que hará es evitar que salgan alertas en pantalla y dejará al firewall y al Defense+ en modo aprendizaje- o cerrar CIS. Ojo, esto último sólo cierra la interfaz gráfica pero las barreras de protección continúan activas.



FUNCIONES EXTRA

Desde el menú inicial podemos acceder a alguna funciones extra como el Virtual Kiosk o el Shared Space.
Estas funciones y algunas más también están disponibles desde el menú Tasks en la pestaña Sandbox Tasks.



Virtual Kiosk

Virtual Kiosk virtualiza un escritorio de forma que la navegación que realicemos por Internet sea más segura. Incorpora un sistema para evitar a los keyloggers -capturan lo que pulsemos en el teclado- lo que lo hace ideal para transacciones bancarias desde el ordenador.

El problema es que deberemos tener instalados Comodo Dragon -el navegador de ellos- y/o Silverlight de Microsoft instalado.


Shared Space

Si ejecutamos una aplicación desde la máquina virtual SandBox y descargamos algo desde ese espacio, si queremos acceder desde la máquina 'real' a esa descarga, podremos hacerlo dese el Shared Space.
Por tanto este 'espacio compartido' es un puente entre el espacio virtual de Sandbox y nuestro sistema operativo real.

Task Manager

CIS proporciona un método para ejecutar tareas de actualización o exploración de archivos en el background. El propósito de esto es hacer que los recursos que utilicen esas tareas sean mínimos a cambio, eso sí, de que les lleve más tiempo completar la acción.

Así por ejemplo si estamos en la ventana de scan de archivos podemos enviarla al background


Esto hará que la rutina de exploración pase a un segundo plano consumiendo mucho menos procesador que si estuviera 'corriendo`en primer plano. En mi caso, una exploración en primer normal tomaba cerca del 50-70% del procesador mientras que en el background sólo un 30-40%

Para ver las aplicaciones ejecutándose en segundo plano debemos acceder al Task Manager


Desde esta ventana podemos traer a primer plano el proceso e incluso asignar la prioridad -Alta, media, baja, background-

Si tenemos el widget activo podemos ver el número de funciones corriendo en segundo plano...


...y si hacemos clic en esa zona, se nos abrirá el Task Manager.


En la pestaña de Advanced Tasks tenemos otras opciones interesantes. Son herramientas de detección o desinfección adicionales aunque requieren una instalación aparte.

Create Rescue Disk

Como su traducción sugiere, esta opción permite crear un CD o una USB de arranque con CIS pre-instalado y con las últimas actualizaciones de forma que podamos arrancar un ordenador infectado con él para eliminar las amenazas.

Clean Endpoint

Esta función ejecuta Comodo Cleanin Essentials el cual es un buscador de amenazas en el registro o de servicios que se ejecutan al iniciar nuestro equipo.

Watch Activity

Esta opción ejecuta Killswitch el cual es un avanzado sistema de monitorización que nos permite ver todos los procesos que se están ejecutando en memoria y mediante el análisis en la nube permite catalogarlos para descubrir amenazas.

RENDIMIENTO

Uno de los aspectos que más me ha sorprendido del nuevo CIS son los pocos recursos que toma del sistema. En mi equipo, un Windows 8, la memoria que ocupan todas las aplicaciones incluida la suite de seguridad de Comodo es de 500 MB en reposo. En las mismas condiciones pero sin CIS instalado se utilizaban 438 MB

Esta es la memoria que consumen todos los procesos de CIS


Además de no consumir demasiada RAM, otro aspecto interesante es que el análisis de archivos durante una exploración bajo demanda -que suele tardar tiempo- puede hacerse en el background haciendo que el uso del procesador no sea muy elevado -aproximadamente la mitad que en primer plano-


PROS Y CONS

Pros

 - Suite de seguridad completa con antivirus, firewall y análisis de comportamiento.
 - Gratuita
 - Compatible con Windows 8
 - Bajo en recursos
 - Altamente configurable

Cons

 - Está en fase beta por lo que se espera que hayan algunos errores
 - No está en castellano aunque la versión final sí lo estará.
 - Depende de qué nivel de seguridad elijamos, CIS nos mostrará muchos mensajes de alerta.
Comentarios
2 comentarios
Para Comentar Elige el Sistema de Comentario de tu Agrado:
Comentarios Comentarios Comentarios