Mayo 27, 2016
Darwinismo aplicado a la seguridad informática (tercera parte): es hora de ocuparse de estos parásitos
¡Hola a todos!
Continuemos con el tema de la supervivencia del más fuerte. No planeaba hacer una trilogía, simplemente ocurrió. O algo así….
He dicho “algo así” porque el problema específico del que hablaré hoy, los parásitos en el mundo de la seguridad informática, lleva ya un tiempo en mi mente. Esta charla sobre el darwinismo parece ser la oportunidad perfecta para dejarme llevar. Ya veréis a qué me refiero…
Hoy hablaremos de parásitos. Pero no de esos contra los que luchamos continuamente (los malos”muy malos”), sino de los que dicen que también luchan contra los muy malos (una pregunta filosófica: ¿quién es peor? :).
Hoy en día, la industria informática se desarrolla a pasos agigantados. Hace tan solo 10 o 15 años, sus principales asuntos eran los antivirus de escritorio, los firewalls y las copias de seguridad; hoy, hay un sinfín de nuevas soluciones de seguridad, métodos e ideas. A veces nos las arreglamos para ir por delante y otras veces tenemos que ponernos las pilas. Hay otras veces en las que caemos en un letargo de asombro y no por las nuevas tecnologías, innovaciones o ideas frescas, sino por el descaro y la falta de escrúpulos de nuestros compañeros de la industria de la seguridad.
Pero primero, dejadme explicaros cómo se han desarrollado los acontecimientos.
Existe un servicio muy práctico llamado VirusTotal multiscanner. Suma alrededor de 60 motores antivirus que utiliza para examinar documentos y URLs que la gente envía para comprobar si hay malware y después proporciona sus resultados.
Por ejemplo: Pongamos que un tal José Rodríguez encuentra una aplicación o un documento sospechoso en un disco duro/memoria USB/Internet. El software de José determina que no contiene ningún virus, pero José es un poco paranoico y quiere asegurarse de que el archivo no está infectado. Así que se dirige a la página de VirusTotal, que no solo cuenta con una solución de antivirus como la suya, sino que tiene unas 60. Además, se trata de una herramienta gratuita, por lo que no es una decisión difícil. José sube el archivo a VirusTotal y recibe información instantánea sobre lo que piensan los diferentes antivirus sobre este.
Antes de nada, hay que dejar claro que las personas de VirusTotal y los que trabajan para la compañía a la que pertenece (Google) están del lado de los “buenos”. No tienen conexión alguna con los parásitos. VirusTotal se mantiene gracias a un pequeño equipo profesional que lleva años haciendo su tarea de manera eficaz. [¿Necesitáis más razones para convenceros? ¿Y si os digo que VirusTotal ganó el premio de MVP el año pasado en el Security Analyst Summit (SAS)?] A día de hoy, VirusTotal es una de las fuentes de muestras de malware y URLs maliciosas más importantes y también es una herramienta arqueológica estupenda para investigar los ataques dirigidos.
Recognizing VirusTotal for enduring contribution to security research #SaveTheWorldMVP #TheSAS2015 pic.twitter.com/lZTjN30Xwg
— J. A. Guerrero-Saade (@juanandres_gs) February 16, 2015
El problema está en un conjunto de usuarios sombríos del multiescáner que, por desgracia, están volviéndose cada vez más descarados en sus conductas.
Además del servicio abierto, público y gratuito de VirusTotal, existe un servicio de suscripción de pago para el uso de una veloz API privada que permite analizar en tiempo real cantidades ilimitadas de archivos. Y aquí es donde las cosas se ponen interesantes: por las razones equivocadas, aquí es donde los parásitos de la seguridad informática suelen estar.
Lo que hacen es echar un vistazo a los resultados de todos y lo adoptan como suyo propio(es decir, lo copian), ¡hasta utilizan los mismos nombres que aparecen en los resultados! Así que, como resultado,un conjunto de empresas hace todo el trabajo mientras otras se llevan los frutos de esa labor, lo disfrazan con un buen marketing de palabras científicas, ponen su marca y lo venden.
La “adopción robo de la detección” no es nada nuevo. En 2009, dirigimos un experimento abierto que nos mostró la dimensión de la catástrofe. Desde entonces, la situación solo ha ido a peor: han aparecido empresas emergentes cuyo modelo de negocio se basa en aprovecharse constantemente de VirusTotal. ¿Invertir en el desarrollo de las tecnologías y las infraestructuras y pagar salarios a los expertos? No. Reciclaremos el trabajo profesional de otros, lo renombraremos y lo revenderemos. Gracias. Es raro, pero legal.
A veces, la astucia de los parásitos es enorme. Algunos incluso admiten abiertamente que utilizan el multiescáner de VirusTotal como base para “su” detección. Por ejemplo, para demostrarlo, aquí tenéis una copia del documento de una acción de marketing completamente descarada:
Es decir, prácticamente cada frase del párrafo anterior hace que nos llevemos las manos a la cabeza en repetidas ocasiones. Pero, ya es el colmo la frase subrayada que dice “usamos VirusTotal para realizar nuestra detección”.
Aquí tenéis otro ejemplo (con una copia del documento, por si acaso):
Aquí tenemos algo similar al primer ejemplo. Primero el producto realiza un oscuro análisis envuelto con las confortantes palabras de análisis de comportamiento, después va a la API de VirusTotal para realizar una pequeña “interacción” y luego envía el resultado al usuario. En otras palabras, no importa lo impresionante que sea el resultado del Análisis Inteligente, su veredicto siempre dependerá de la opinión de los otros análisis. Entonces, ¿de qué sirve hacer un análisis inteligente? Buena pregunta.
Existen muchos más ejemplos como este,y todos demuestran que los robos de detección se han vuelto cotidianos en la industria de la seguridad informática y, basándonos en ello, un nuevo ecosistema de parásitos engaña con éxito al público (¡siempre se salen con la suya!). Y no, no me lo estoy inventando.
En lo que todos los parásitos se ponen de acuerdo es en su oposición a los “métodos tradicionales” (esos métodos de escaneo que roban a VirusTotal) y su amor por todo lo relacionado con la “siguiente generación” (aunque no sé qué hay de nuevo en copiar y pegar una detección (ni con la IA, no lo explican).
Conclusión: si se os acerca alguien de una empresa desconocida y os dice cosas como”la próxima generación”, “análisis de comportamiento” “inteligencia artificial”, etc., sin resultados de pruebas independientes para hacer que esas palabras tengan un significado real, tened cuidado. El marketing de tales compañías muestra que la única inteligencia artificial que usan es para ocultar su uso de los recursos online de otras compañías de seguridad.
VirusTotal es consciente del problema y hace lo que puede para resolverlo. El 4 de mayo se publicaron nuevas normas de uso del sistema. Los apartados más importantes son: que todos los usuarios de la API privada “deben integrar su escáner de detección en la interfaz pública de VT“, y “los nuevos escáneres que se unan a la comunidad deberán demostrar una certificación y/o revisiones independientes realizadas por los examinadores de seguridad de acuerdo a las nuevas prácticas de la AMTSO“. Los expertos consideran (no olvidéis leer los comentarios) que estas reglas solucionarán la situación en VirusTotal y eliminarán a los parásitos.
"Cylance, Palo Alto Networks, Crowdstrike, Carbon Black and Sentinel One are the ones I might be concerned about" https://t.co/6SXTbXIrzQ
— codelancer (@codelancer) May 6, 2016
Estas nuevas reglas son una decisión acertada, aunque tardía. Pero no creo que VirusTotal deba detenerse aquí. Ahora es el momento adecuado para continuar con reformas similares en VirusTotal. ¿Por qué? Porque los parásitos todavía tienen algunos trucos guardados bajo la manga y formas de esquivar los nuevos requisitos y seguir robando la información y los conocimientos expertos del multiescáner.
En mi humilde opinión, esto es lo que deberían hacer en primer lugar:
- La versión pública del multiescáner debe ser mejorada para poder hacer consultas automatizadas con técnicas de anonimato lo más complicadas posibles.
- Los participantes deberían decidir quién tiene acceso a los resultados en sus escáneres.
That's one small step for @virustotal, one giant leap for security industry https://t.co/rMKH0LgS7T by @alexeck
— Eugene Kaspersky (@e_kaspersky) May 6, 2016
No somos los únicos inconformes con el abuso de VirusTotal y estoy seguro de que muchos de nuestros colegas apoyarán los cambios futuros en el servicio (para ser más específicos, aquellos que hacen contribuciones reales a la comunidad de VirusTotal). Nadie quiere que los parásitos se lleven los frutos de su trabajo, pero todos están preparados para compartir su experiencia con sus respetables colegas, los equipos de respuesta para emergencias informáticas, las fuerzas policiales y otras organizaciones anti delictivas. Llamémoslo de otro modo: cualquier organización que coopere en lugar de copiar. La adopción de la detección está ahogando a la industria de la seguridad informática y ayudando indirectamente a la ciberdelincuencia.
PD: VirusTotal es el multiescáner más famoso, popular y avanzado, pero no es el único disponible. También están Jotti, VirSCAN, Metadefender y otros servicios similares, aunque también tienen sus desventajas. Cada uno debería hacer unalimpieza para terminar con el abuso continuo. Y sí, espero que VirusTotal sea el ejemplo a seguir por todos ellos.
@e_kaspersky contra los #parásitos que abusan de VirusTotal copiando la detección de otros proveedoresTweet