Los eternos problemas del análisis de malware

Hola,

Bajo el título Trusteer Flashlight Provides Malware Analysis and Remediation for Financial Institutions, la compañía Trusteer ha publicado una nota de prensa en la que anuncia la disponibilidad de un servicio de análisis forense de malware para instituciones financieras. No es el primer servicio de estas características, si probablemente sea el último.

En resumen, la empresa plantea una solución basada en la instalación de un complemento modular a su Rapport llamado Flashlight, que según la nota de prensa identifica la muestra y en caso de no poder identificarse, se basará en patrones comportamentales para escoger qué muestras serán enviadas al equipo de ingeniería inversa de Trusteer para su inspección. Tras el análisis el cliente recibe un informe completo de la muestra, el código fuente y recomendaciones para prevenir el ataque en un futuro. En paralelo se facilita la muestra a los desarrolladores antivirus y se informa de los posibles centros de control empleados por la muestra para proceder a su retirada.

En este caso en particular creo que la inclusión de entidades financieras en el título de la nota de prensa resta valor, ya que cualquier empresa puede sufrir contaminación por malware en sus equipos, pero en principio la idea es simple: posibilitar la inspección forense de máquinas por especialistas sin desplazarlos a la máquina o viceversa, método que permite ahorrar costes significativamente y no tener que lidiar con la problemática legal de confiscar máquinas en las que pueden existir, como es normal, datos e información personal de los usuarios que las empleen. No obstante sin informes independientes que cuestionen el servicio poco más se puede decir del mismo, quedando abiertas las interrogantes tradicionales en este tipo de servicios:

  • Hasta qué punto podemos confiar en que el software de detección es fiable y produce resultados significativos tanto para el cliente como los analistas.
  • Hasta qué punto es confiable y adecuado el método de obtención y envío de las muestras a los analistas.
  • Hasta qué punto el equipo de análisis está capacitado para atender avalanchas de malware que requieren horas de ingeniería inversa y que pueden proceder de muchos clientes.
  • Hasta qué punto podemos confiar en que el software a instalar no sufrirá los efectos del malware, si es que la extracción se realiza empleando el sistema operativo contaminado.
  • Hasta qué punto el método garantiza la privacidad de los usuarios de la máquina que puedan estar almacenando en ella información y datos personales, habida cuenta de las potenciales repercusiones legales que una mala praxis puede provocar.

El análisis de malware es complicado, por muchos motivos. Hoy señalaremos tres, aunque la lista se puede hacer bastante más larga, y trataremos de relacionar estas dificultades con los servicios de análisis.

Lo primero que hace falta para analizar malware es encontrarlo, algo que no es tan trivial cuando se trata de amenazas persistentes, y menos si lo que se plantea es la detección en remoto en una red empresarial. Las amenazas persistentes lo son, precisamente, porque pasan desapercibidas, y esto se debe en gran parte a que ni la protección de los terminales ni los mecanismos de monitorización detectan el 100% de patrones inusuales, nicho que pueden y de hecho aprovechan las piezas más sofisticadas para realizar su actividad maliciosa por tiempo prolongado pasando inadvertidas. La primera en la frente es pensar qué hacemos para obtener muestras analizables allí donde aparentemente todo funciona como un reloj, y donde las posibles muestras se han diseñado precisamente para pasar desapercibidas.

Para el resto del malware más convencional, por llamarlo de algún modo, sigue siendo complejo y costoso el análisis. Aún disponiendo de las muestras hay que dedicar recursos abundantes al desempaquetado, a evadir la ofuscación, a trazar la actividad, a inspeccionar los centros de control, y esto para cada una de las muestras. Esto hace imperativo tener en lo alto de la mesa una estrategia para afrontar los análisis de una manera efectiva, algo tradicionalmente resuelto por la subcontratación de personal cualificado, lo que abre una segunda problemática: si el número de muestras a analizar excede la capacidad del equipo de análisis se torna imposible analizarlas todas (al menos mientras la inspección automatizada con garantías no sea una realidad más próxima). Y si no podemos analizarlas todas, de alguna manera hay que elegir cuáles inspeccionar. ¿Cómo seleccionamos las muestras a analizar? ¿Qué factores marcan las prioridades? ¿Cuál es la más relevante? ¿Cuál es la que causa mayores perjucios? ¿Qué perjucios son esos, son para los clientes de la empresa o para empresa en sí? Este asunto no deja de tener su miga, ya que normalmente la respuesta a esas preguntas viene después del análisis, no antes, así que diseñar un método de análisis que permita seleccionar previamente cómo estructurar el trabajo no es nada sencillo.

Por último, como tercera gran problemática, una vez que hemos analizado la muestra, ¿qué hacemos para que el malware venidero no afecte nuestros equipos? A sabiendas de que ninguna solución nos puede proteger en el 100% de los casos, ¿Qué hay que hacer para minimizar los riesgos? ¿Nos ponemos a monitorizar patrones en el tráfico? ¿Cambiamos la estrategia antivirus? ¿Nos volcamos en concienciar al usuario? ¿Invertimos en tecnología de seguridad adicional? En definitiva, ya que sabemos con todo lujo de detalles lo que ha provocado una muestra determinada, ¿cómo empleamos esa información para tratar de prevenir futuros incidentes?

Tengo la firme convicción de que la proliferación del malware no se va contener por muchas soluciones de análisis que aparezcan en el mercado. Estas soluciones pueden ayudar a quien las utilice, y yo siempre defenderé su existencia ya que para casos determinados se pueden lograr beneficios importantes, y porque esto al final no deja de ser una carrera para tratar de que el malware nos produzca los menores perjuicios posibles, dando por sentado que siempre exisitrá un perjuicio residual que no podemos atajar. Ojalá existieran soluciones integrales para estos problemas a nuestro alcance.

Un saludo,

Botnets corporativos

Buenas,

Aprovecho que estos últimos días han estado movidos en el tema botnets para lanzar al aire una serie de comentarios.

El pasado 16 de Febrero Damballa publicó su top ten de incidentes debidos a botnets criminales, situándose el infame Zeus en primera posición, con un 19% de nuevas víctimas coporativas integradas en su red. No le anda a la zaga Koobface, otro conocido de la escena. Para todos aquellos que queráis profundizar en el tema, pasaos por el blog del amigo Dancho, que suele publicar al respecto con bastante asiduidad. El asunto da para mucho, y podríamos estar años hablando de esta problemática.

El malware provoca daños allá por donde pasa. Da igual que sea en un ordenador doméstico o en un servidor empresarial. El objetivo es el mismo, y aunque ampliamente matizable, al final se trata de apoderarnos de lo que no es nuestro. Aun así, cada ámbito tiene sus ventajas y desventajas, pero en ninguno de los dos casos son sencillas las soluciones. En casa sólo hay que controlar un ordenador, pero, ¿tiene todo el mundo recursos y conocimientos para evitar el malware? No. En el ámbito empresarial tenemos otra importante disyuntiva, complementaria a la anterior. Ahora no se trata de controlar un equipo, sino miles. Pero en esta ocasión si hay recursos y conocimiento (o debería haberlos) para controlarlos. ¿Quiere decir esto que la seguridad corporativa es más fácil que la doméstica? Tampoco.

Me vais a permitir que hoy no me centre en el ámbito doméstico. Sigo creyendo que un buen antivirus para lo conocido y una buena dosis de sentido común, conocimiento y prudencia para lo desconocido pueden mitigar la mayor parte de los problemas, por mucho que se empeñen algunos en reducirlo todo a que en Linux no hay problemas con los troyanos o que con la última versión de Windows 7 tu equipo será infranqueable. Creo que estaremos todos de acuerdo que un buen antivirus y sentido común no parecen suficientes para afrontar la seguridad corporativa.

El asunto no es fácil de digerir. ¿Es la lucha contra el malware un asunto puramente económico? No. Las grandes dotaciones presupuestarias no tienen por qué ser efectivas en este campo. ¿Es un asunto puramente tecnológico? Tampoco, ya que disponer de la mejor tecnología de seguridad tampoco te exime de sufrir problemas. ¿Es entonces un asunto comportamental o humano? Sería injusto reducirlo sólo a eso. ¿De qué estamos hablando entonces? ¿Esto cómo se afronta?

La solución es muy fácil de enunciar sobre el papel. Se trata de disponer, simultáneamente, de dotaciones presupuestarias efectivas para robustecer la seguridad así como invertir en el capital humano para mejorar su concienciación y entrenamiento, con el objetivo gradual de ir reduciendo el rato de incidencias hasta dejarlo en cifras residuales asumibles en cuenta de resultados. Esto que se escribe en dos líneas se traduce al final en millones de euros, no sólo por las pérdidas que provocan los incidentes, sino porque la tecnología y la concienciación cuestan mucho dinero, y amigos míos, aquí no hay fórmulas mágicas que se amolden a todos los escenarios. Ojalá tuviéramos una guía de los diez pasos para invertir y sufrir lo mínimo que fuera apicable a cualquier entorno y bajo cualquier circunstancia, pero como no la tenemos, hay planificar, invertir con inteligencia, implantar controles efectivos y en función a las desviaciones, volver a comenzar. Y todo esto sin olvidar que hagamos lo que hagamos en seguridad, el impacto en la sostenibilidad y rentabilidad del negocio debe ser el mínimo posible.

2009 ha sido, posiblemente, el año de los botnets corporativos. Nada me hace pensar que en 2010 mejore mucho el panorama actual, fundamentalmente porque lo que hemos enunciado antes en nuestro papel ya llevan años haciéndolo los amigos de lo ajeno. Los criminales combinan con eficacia y eficiencia la inversión (no les falta capital), la tecnología (siempre mejoran la aplicación de sus recursos tecnológicos) y la concienciación (reclutan y forman de modo continuo a especialistas). Esta letal combinación de los tres ejes claves de la seguridad es la que hace que esta gentuza que nos roba dia a día propiedad intelectual, dinero en la cuenta del banco, secretos industriales, información financiera reservada y ese largo etcétera de jugosos activos sea hoy en día prácticamente imparable.

Quizás vaya siendo hora de aprender del enemigo, pero que nadie crea que esta será una tarea sencilla.

Un saludo,