Caso Kaspersky y “la globalización” del malware

lunes, 16 de octubre de 2017

El laboratorio antivirus de Cuba está situado en La Habana. Tienen su propio motor antivirus  y un buen puñado de profesionales increíbles, aunque se mueven en un ambiente muy local. Pese a las dificultades técnicas inherentes a la situación política del país, ¿por qué mantienen un motor antivirus propio? En el contexto político, la respuesta parece sencilla, pero desde el punto de vista técnico, puede resultar interesante explorar y comprender otras razones. El supuesto "caso Kaspersky" que ha destapado el New York Times hace bien poco, pone de nuevo el foco en el dilema que podría generar la "globalización del malware".

Qué ha pasado
El New York Times publicó hace unos días un reportaje con un título que ya juzgaba a los actores: "How Israel Caught Russian Hackers Scouring the World for U.S. Secrets". Afirma que espías israelíes pudieron ver "en tiempo real" cómo agentes del gobierno Ruso (espías), buscaban en una especie de "buscador de malware" perteneciente a Kaspersky, por sistemas de todo el mundo, nombres de programas de inteligencia americano (tipo EternalBlue, para entendernos) y documentos clasificados. Espías israelíes vigilando a espías rusos que vigilaban a espías estadounidenses. Los israelíes avisan a los estadounidenses y el pasado septiembre se decretó a Kaspersky como sistema de protección prohibido entre las agencias de inteligencia americanas. La compañía rusa obviamente niega que ofrezca estos "servicios" a la inteligencia rusa y a partir de aquí, mucha especulación.

Kaspersky ya fue atacado en 2014. Fue en 2015 cuando descubrieron que llevaban meses con sus sistemas intervenidos. En un elogiable trabajo de transparencia, publicaron detalles muy concretos del ataque sin mencionar que fueron los israelíes, como ahora parecen corroborar.

Podría ser que desde entonces o solo entonces, agentes del Kremlin estuviesen utilizando la base de datos de malware y documentos perteneciente a Kaspersky para extraer información sensible. Hace poco también se ha dado a conocer que se atacó al software de Kaspersky para robar información de alguien relacionado con la NSA que previamente extrajo información sensible desde la sede a su propio ordenador personal (un problema de otra índole, realmente). La historia se complica cuando agentes de los Estados Unidos confirman que el software de Kaspersky usado por los agentes del Kremlin estaba preparado y deliberadamente modificado no solo para detectar y buscar activamente malware sofisticado destinado al espionaje, sino también palabras clave en documentos (del tipo "top secret") y así servir como sistema de revelación de secretos.

En este punto, todo esto se vuelve hacia un plano más político que técnico. Se trata ya de otro caso "Rusia vs. Estados Unidos" y el ciberespionaje parecido a los que hemos vivido en los últimos tiempos, y que responde a todo tipo de intereses gubernamentales alejado de las líneas de código en sí. En todo caso, restringiéndonos al plano técnico, la historia sigue resultando igualmente interesante.

En el plano técnico
En el principio fueron las firmas. Luego la heurísitica, el análisis de comportamiento y luego los sistemas inteligentes basados en red. Ahora son los endpoint security (nuevo nombre para lo que siempre se conocerá popularmente como antivirus) los que detectan inteligentemente no solo firmas, sino los intentos de ataques (exploits y payloads) bajo una visión "global" de lo que podrían ser todas las fases de una intrusión. Y en este proceso de globalización se ha, por un lado, otorgado demasiada confianza a los antivirus y por otro, progresiva y paradójicamente, se ha perdido confianza en ellos debido a los propios métodos intrínsecos con los que se pretenden ganar nuestra confianza. ¿Un trabalenguas funcional?

La confianza y la "confianza"
Existen varios planos de confianza con el antivirus. Por ejemplo cuánto confías que te protege, y cuánto poder le das. La confianza depositada en el antivirus es muy relativa. Tendrá que ver con el marketing, pruebas técnicas, conocimientos propios, prejuicios... Se trata fundamentalmente de manejar las expectativas. Y en tanto a la cantidad de poder se le otorga sobre el sistema, en esto no hay discusión: Todo. Si quieres que proteger un sistema, asumes que tu antivirus debe saberlo todo. Y cuanto más sepa, mejor podrá protegerte. Existe un desgastado debate sobre si tiene sentido instalar lo que no deja de ser un "troyano bueno" que todo lo sabe para evitar que los "troyanos malos" campen a sus anchas, máximo cuando ya sabemos que como todo software, pueden contener fallos. Pero ese debate ya dejó de ser interesante en sí mismo.

Pero no debe dejarse de lado el aspecto cada vez más relevante. La globalización y el malware industrializado como arma, hace tiempo que llegó al mundo del antimalware. Para confiar en él, debes entender que ya es un asunto global y que por tanto, la confianza en tu antivirus pasa por una confianza prácticamente global en todos los sistemas antivirus. Debes confiar en "el sistema" de protección actual, como un todo. Ya no solo debes confiar en las habilidades de un motor concreto sino en cómo maneja toda la información relativa a esa fórmula con la que precisamente pretende protegerte. La seguridad global, pasa por sistemas inteligentes donde se almacena gran cantidad de información que es tratada de forma tanto automática como manual. Generando unos sistemas de bases de datos compartidos entre analistas de seguridad y definen el elemento principal de sus herramientas habituales. Y ese conjunto de datos, sale de sistemas protegidos por antivirus en el que, en un mundo global, facilitan que algunos ficheros puedan acabar en repositorios públicos o semi-privados para ser accedidos por terceros porque suponen su modelo de negocio o porque simplemente... son atacados.

Una infección detectada por una sonda de un antivirus cualquiera en un equipo aleatorio, puede provocar una subida a un repositorio para un posterior análisis desde su red. Si es detectado por el motor, el usuario puede recibir una alerta, y también los analistas profesionales tras el motor para un posterior análisis manual. El usuario alertado o los analistas pueden enviarlo a su vez a sistemas como VirusTotal donde le darán la opinión de otros motores pero también quedará a disposición de los que paguen por acceder a su base de datos o realicen "virus hunting". Todos los motores a su vez querrán proteger al resto de sus propios clientes que, a su vez con esa base de datos, pueden deducir qué y cómo se le está protegiendo. Si se quiere seguir retorciendo el argumento, algunos de los antivirus pueden a su vez, delegar su sistema de almacenamiento en la nube en sistemas de terceros, como Azure o AWS, lo que potencialmente podría convertirse en un objetivo desde donde recabar inteligencia... Parece que no existe escapatoria y que tarde o temprano, la información marcada como malware en algún sistema podría acabar siendo pública entre los que tienen interés en encontrarla.

La inteligencia colectiva
Ya sea que los documentos secretos se encontraban en los sistemas centrales de Kaspersky, o en el PC de algún particular que irresponsablemente los almacenó en su disco duro, aquí el agente protector se vuelve parte del problema a un nivel mucho más global y peligroso. Lo que abre la pregunta a cómo deben funcionar los "endpoint security" en un mundo globalizado. En este entorno ideal no ya un malware, sino una técnica de exploiting puede acabar en segundos en manos de los analistas, y de ahí a proteger a otros clientes porque precisamente, así nos protegen mejor a todos, gracias a la inteligencia colectiva. Pero ¿qué pasa en la vida real? Esos ficheros, documentos, o exploits detectados vuelan hacia sistemas centralizados, y:
  • Los binarios marcados pueden contener 0-days usados tanto por agentes de inteligencia como creadores de malware.
  • Los documentos marcados pueden contener información confidencial.
  • Los exploits pueden contener volcados de memoria en los que literalmente, cabe cualquier dato. Cualquier analista puede comprobar que esto es cierto con un paseo por dumps de memoria en sistemas que alojan ficheros de todo tipo marcado como malware.
Bajo este panorama, una mayor protección en el mundo del malware globalizado, parece pasar necesariamente por una pérdida de potencial privacidad, al igual que la globalización económica que en un principio se funda bajo lo que se suponen argumentos bienintencionados, pero que en el fondo esconde algunos aspectos que no son tan beneficiosos.

¿Solución?
Agentes del gobierno que manejan información extremadamente sensible, puede que acaben desvelándola por, precisamente, utilizar sistemas de protección como Kaspersky que, por otro lado, han resultado muy eficaces combatiendo el malware más avanzado que se ha creado. Suyos son los descubrimientos y análisis más interesantes en los últimos tiempos sobre herramientas profesionales de espionaje. ¿Deben confiar estos agentes en otras casas antivirus más "afines" y de las que no quepa sombra de duda sobre su reputación? ¿Y si estas casas están sometidas a presiones políticas que le obligan de alguna manera a ofrecer favores a cambio? ¿Están todas preparadas desde el plano técnico para soportar esa responsabilidad? Volvemos a bascular de un plano técnico hacia otro político en donde las respuestas comienzan a ser más polémicas y discutibles. Porque a nivel político no existe un única y correcta verdad. Este es un viejo dilema y no se está descubriendo nada nuevo en realidad: hablamos del mundo de la seguridad "física" de toda la vida, trasladado a la red, a las armas inteligentes y sus controversias.

Y aquí es donde volvemos a la Habana, donde un técnico que pertenece a un grupo de ingenieros, un buen día recibe una llamada al teléfono fijo porque se ha dado una incidencia en un organismo de la nación. El analista conduce hasta la oficina y allí le espera el afectado con un pen drive en la mano, donde ha intentado "capturar" el binario o documento que su motor ha marcado como potencialmente problemático. En analista lo introduce y observa la amenaza. Abre su caja de herramientas desde un disco en local y comienza a analizar el nuevo malware...

Sergio de los Santos
Área de Innovación y Laboratorio de ElevenPaths

No hay comentarios:

Publicar un comentario