TheFlame: el francotirador



via: Panda Antivirus

En los últimos días, y a modo de reflexión sobre lo ocurrido con el troyano TheFlame, algunas voces se han sumado a la crítica hacia la industria antivirus, como responsable de que el troyano pasara desapercibido durante años. Pero no lo son (en todo caso, no son los únicos). ¿Qué lecciones se pueden aprender de la detección y análisis de este malware?

Mikko Hypponen entonó un razonado "mea culpa" en Wired:

"When we went digging through our archive for related samples of malware, we were surprised to find that we already had samples of Flame, dating back to 2010 and 2011 [...] What this means is that all of us had missed detecting this malware for two years, or more. That´s a spectacular failure for our company, and for the antivirus industry in general."

Y es razonable, por la manera en la que trabajan las casas antivirus (que no los antivirus en sí). Reciben alrededor de 100.000 muestras al día. No todas son malware y, lógicamente, no todas son analizadas a
mano. Es imposible. Simplificando el proceso, las muestran pasan por sistemas automáticos que intentan clasificarlas. Si alguna resulta claramente malware, pasa sin más a ser detectada por firma (genérica).
Si solo resulta sospechosa, quizás llegue a un segundo filtro manual. Si aquí se confirma como malware (un proceso que puede llevarle muchas horas a un analista) se incluye en las firmas, y se repasan de nuevo las
muestras que han llegado para analizarlas con esa nueva firma y detectar más. Este un proceso costoso, sin fin, y muy complejo... cuyos volúmenes están incrementando.

Kaspersky hablaba en Twitter de que, en el último año, el número de muestras "detectadas" diariamente había pasado de unas 75.000 a 125.000. No sabemos si ese "detectadas" está bien empleado. De hecho, Jorge Mieres, de la misma compañía, decía un poco más tarde en Twitter "En los últimos meses ha aumentado un 80% el número de muestras únicas procesadas por día. 125.000."

En este proceso de automatización, los antivirus prefieren pecar por defecto y no caer en detección de falsos positivos. Una muestra firmada por Microsoft, como TheFlame, no tenía la más mínima posibilidad de
pasar como sospechosa por ningún filtro.

Otra frase de Hypponen llama la atención:

"Yet we failed to do that with Stuxnet and DuQu and Flame. This makes our customers nervous."

Los antivirus están sometidos a un gran peso comercial, de imagen, de ventas y beneficios. Deben contentar a sus clientes. Y la alerta mediática generada les pone nerviosos. Sin embargo, no se debe perder
el foco. Aunque se deban invertir recursos en detectar muestras extremadamente sofisticadas, es mucho más importante controlar de forma eficaz la inmensa oleada de malware "común" como las nuevas versiones de
Zeus o SpyEye. Quizás no usen certificados de Microsoft para ocultarse, pero podemos asegurar que sus índices de infección (y robo real de cuentas bancarias) son infinitamente más altos. ¿Cómo repartes tus
recursos entonces? ¿Es mejor invertir en medicinas para curarte de una enfermedad mortal detectada en algunos puntos de Irán que afecta principalmente a una raza característica? ¿O dedicarlos a la lucha
contra las enfermedades comunes? Los clientes de antivirus lo querrán todo... pero eso sería una evaluación de riesgos muy pobre. Por otro lado, culpar únicamente a las casas antivirus sería injusto.

Un antivirus no está diseñado para detectar malware de este calibre, simple y llanamente. Si hacemos una analogía de guerra, un antivirus sería como un chaleco antibalas. Puede llegar a proteger del fuego
cruzado, de las balas perdidas... Es posible que no se muestre eficaz con cierto tipo de munición destinada específicamente a traspasarlo, pero puedes reforzarlo periódicamente y proteger tu cuerpo. Por
supuesto, esto no exime al que lo acarrea de ocultarse en lo posible de la primera línea de fuego y otros métodos para salvarse. Pero ¿quién te protege de un francotirador que, apostado estratégicamente en un
edificio, apunta a tu cabeza desde hace días? TheFlame es un francotirador, con mucha puntería y la mejor arma. Un chaleco antibalas no protege contra francotiradores.

¿Se tambalea entonces la confianza en los antivirus? No. No hay que quitarse el chaleco antibalas. Lo que hay que hacer es mejorarlo y complementarlo. Si se cuestiona algo, que sean los cimientos de los procesos automatizados y de las políticas de seguridad aplicadas. Una bofetada que debería hacernos despertar y replantear incluso aquello que parece que "funciona bien". Porque pueden existir otros métodos.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Imagen
Iniciamos esta nueva categoria: Coincidencias Desafortunadas, con el post de Filemón Alonso Miranda aka @urbanitas acerca de Goidsargi Estívalis Carranza, el Ángel de Hielo . La coincidencia desafortunada fué el AdSense de Google publicitando reparación de refrigeradores, siendo que la nota hablaba de que la asesina habia mantenido por varios días los cuerpos mutilados de su ex esposo y novio. #Toing
Leer más

Oldies Web

Imagen
Muchos de ustedes tendrán años navegando en Internet; pues bien para aquellos con melancolías por las primeras webs que alguna vez visitaron, es que les paso el siguiente tip: Vía el web Internet Archive Wayback Machine es posible visualizar versiones viejas de páginas web con teclear la dirección URL y seleccionar la fecha de interés. Ello puedes hacerlo siempre y cuando, en la cache del servidor host del sitio web de interés, se siga guardando la información de la versión añeja del web. Anexo una captura de pantalla de ejemplo donde observamos cómo se veía Google! Beta en Diciembre 2 de 1998.
Leer más