El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.

En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

  • El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
  • Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.

Pero, esta "solución" presenta en sí misma algunos riesgos y preguntas tales como:

  • El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
  • La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
  • El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
  • Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
  • Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
  • Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
  • Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
  • Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
  • ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.

Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Cristian