El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.

En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

• El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
• Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.

Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

• El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
• La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
• El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
• Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
• Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
• Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
• Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
• Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
• ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.

Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Cristian

Categories: Declaraciones, Educación, Heurística
2 Comments »

Continuamos la entrevista al Director de Inteligencia de Malware de ESET.

P: ¿Cuáles son las reglas de oro para utilizar Internet en paz?

Si encuentro alguna regla de oro, te lo haré saber.

Si existe una regla de oro, no tome nada que se ofrezca como seguro. Hay muchos atacantes ahí afuera – hackers, crackers, scammers, spammers, phishers, etc. – que no tendrán reparo en mentirle al usuario con el objetivo de obtener su dinero, su identidad u otra información sensible. Hay otros que tienen algo que vender – un producto, un servicio, un sitio web, la suscripción a una revista, un blog, etc. – que no le mentirán al usuario, pero no harán suficiente esfuerzo en decirle toda la verdad.

Obviamente, esto trae aparejada la pregunta: “¿cómo hago para saber en quién confiar?”, que es un problema complejo dada la diversidad de sitios existentes.

P: ¿Cuál es el motivo por el que hay más ciber crimen que antes? ¿Cómo puede el usuario prevenirse de estos crímenes?

Hay varias respuestas obvias a esta respuesta y al menos una que no es tan obvia. Por supuesto, esto no garantiza que ninguna de ellas sea correcta.

Una de las respuestas obvias es que el ciber espacio es donde la mayoría de nosotros trabajamos (y dedicamos la mayoría de nuestro tiempo). Por lo tanto, hay maś dinero ahí que el que había anteriormente, cuando se realizaban unas pocas transacciones en linea. Además, está el hecho de que muchas de las características de Internet son escencialmente inseguras, en el sentido de que se utilizan muchos protocolos inseguros, que permiten tecnicamente la ejecución de ataques.

La respuesta menos obvia, es que para mucha gente, es más probable que sean víctimas de alguien a quien no ven. No solo porque no poseen la oportunidad de hacer un chequeo cara a cara (que ofrece pistas que no existen en el mundo online, o están atenuadas), sino porque salvo que el atacante sea un psicópata, es más fácil hacer daño a alguien que uno no ve. En mi opinión personal, la psicología del ciber crimen es más interesante que sus aspectos técnicos.

Entonces, ¿cómo prevenir el ciber crimen? La única forma de hacerlo es cambiando la naturaleza humana. El crimen es crimen, y es inherente a la naturaleza humana (al menos en un mundo económicamente desigual y mentalmente inestables). Uno puede atenuarlo con educación y concientización, o implementando soluciones técnicas efectivas. Muchos profesionales en seguridad piensan que una visión técnica es la única posible, pero no es así. En mi experiencia, ninguna de las dos funciona al 100% pero hacen un buen trabajo en conjunto.

Ojalá hayan disfrutado la entrevista a uno de nuestros responsables de educación e investigación en ESET.

Sebastián

Categories: Declaraciones
2 Comments »

Tal como hicimos con la Entrevista al Jefe de Laboratorio de ESET, nos parece oportuno en esta ocasión compartir con ustedes una nueva entrevista a otro integrantes de la compañía a lo largo de nuestras oficinas mundiales. En este caso se trata de David Harley, Director de Inteligencia de Malware de ESET, que ha concedido una extensa nota a un portal turco de seguridad.

Transcribimos a continuación los pasajes más interesantes de la entrevista, traducidos a nuestro idioma, el español.

P: ¿Estamos asustados al navegar por Internet?

No lo se, pero probablemente deberíamos estarlo. No me gustaría ver a todo el mundo asustado por los atacantes y, a los hombres de negocios, sin querer utilizar todas las posibilidades que ofrecen las redes sociales e Internet; pero seguro debemos tenerle al menos un respeto saludable a los riesgos que hay en Internet.

Tampoco deseo que cualquiera que tenga una conexión a Internet se convierta en un experto en seguridad, pero en general no se hace un buen trabajo concientizando a los usuarios respecto a qué deben y qué no deben hacer para estar seguros. Un usuario consciente puede elegir:

• gritar al aire: “Nunca voy a usar Internet porque es muy peligroso”
  
• o, puede dejar de pensar en eliminar el riesgo, y comenzar a pensar en gestionar el riesgo, enfrentarlo.
• Puedes preguntarte: “¿Es seguro acceder a la banca en linea desde una conexión inalámbrica en un bar?”
• “¿Puedo prestar mi computadora a alguien mientras estoy con un usuario administrador?”
• “¿Por qué mi banco me envía un correo diciendo que tengo un problema en mi cuenta que empieza ‘Estimado cliente,’ en lugar de mi propio nombre?

P: ¿Cuál es su opinión respecto a la seguridad de la información?

Existe la famosa triada del modelo de seguridad de la información: confidencialidad, integridad y disponibilidad. Por supuesto, los tres son importantes y de eso se trata, especialmente para los negocios o individuos que utilizan sus finanzas con recursos informáticos. Sin embargo, si pierdes la disponibilidad su sistema fallará, independientemente si fue un atacante, un ISP o el director de TI el que paró el servicio.

P: ¿Qué consejo puede ofrecer para aquellos que quieren aprender sobre Seguridad de la Información?

Practiquen. En cualquier caso, la práctica es una de las formas de adquirir experiencia en seguridad. Para mucha gente de mi generación esa fue la única opción.

Por supuesto, existen posibilidades de capacitación y entrenamiento. En el campo de la seguridad anti-malware, no existe tanta capacitación y, la mayoría existente, está a cargo de la misma industria.

Entonces, deberás adquirir experiencia acorde a quien quieras proteger:

• Suficiente experiencia para navegar seguro en el tiempo libre
• Suficiente experiencia para que los recursos IT del trabajo estén seguros
• Suficiente experiencia para ser un profesional en seguridad
  

En ESET estamos altamente comprometidos con la educación en seguridad de la comunidad. Pueden consultar nuestros papers en nuestro sitio web (nota: en español pueden consultar el Centro de Amenazas.)

En los próximos días compartiremos la segunda parte de esta entrevista.

Sebastián

Categories: Declaraciones
2 Comments »

Ante todo quiero agradecer al diario InfoBae y Clarín de Argentina por hacerse eco de nuestra preocupación por la cantidad de infecciones realizadas por Conficker.

Según los datos obtenidos por nuestro Servicio Estadístico de Alerta Temprana, ThreatSense.Net, este gusano ha alcanzado un porcentaje de propagación mundial del 5% y del 8% en América Latina.

Sin embargo, en la Argentina, el gusano alcanzó el récord del 25% de todo el malware propagado en el país durante enero, dejando en evidencia la necesidad de gestionar la seguridad en forma adecuada.

Este porcentaje refleja una alarmante situación que repercute directamente en la falta de concientización, no sólo a nivel hogareño sino que, mucho más preocupante, en entornos corporativos. Una gran cantidad de infecciones se pudieron haber evitado de manera sencilla a través de la correspondiente actualización de seguridad y procedimientos claros tendientes a mitigar el impacto generado por este tipo de amenazas, las cuales no son novedosas ni sorpresivas.

En este caso en particular, la situación de la Argentina comparada con América Latina y el mundo demuestra la necesidad gestionar la seguridad de la información para evitar que estas historias se repitan, como ya sucedió con casos de códigos maliciosos altamente propagados en los últimos tiempos como Blaster, Sasser, RedCode, Zotob y otros tantos.

Cristian

Categories: Curiosidades, Declaraciones, Estadísticas, Malware
5 Comments »

A partir del conocimiento de la vulnerabilidad en plataformas Windows, solucionada en boletín MS08-067, se comenzó a generar un viento demasiado fuerte en relación al gusano conficker que, aprovechando esta vulnerabilidad, logró en pocos días un alto porcentaje de infección a nivel mundial.

Debido al complicado comportamiento de este código malicioso, muchas compañías de seguridad antivirus vieron difícil su erradicación completa en primera instancia. Sin embargo, más allá de la discusión en torno a que determinado AV lo elimina y determinado AV no, existe un problema aún mayor de fondo: las actualizaciones de seguridad del sistema operativo.

En muchas ocasiones, este aspecto parece quedar de lado esperando una solución “mágica” que termine con todos los inconvenientes de seguridad. Este pensamiento es erróneo. De nada sirve tener implementada una solución antivirus y administrarla de manera remota en una red LAN, si no se mantienen al día las actualizaciones de su base de firmas.

De nada sirve un antivirus cuando, a pesar de alertar sobre la descarga de un malware, se descarga e igualmente se ejecuta, es decir, la decisión siempre es del usuario. Y, teniendo en cuenta que las rutinas maliciosas se basan cada vez más en Internet como plataformas de infección para llegar hasta el usuario, de nada sirve instalar complejas herramientas de seguridad si no se atienden las cuestiones esenciales de prevención que hacen del sistema un entorno seguro, como una sencilla política de actualización del sistema operativo.

Si bien es cierto que de un programa antivirus se espera que detecte la mayor cantidad de códigos maliciosos, también es cierto que ninguna herramienta de seguridad es 100% efectiva, y en esto coincidimos todos los profesionales de seguridad.

Es importante entender que la seguridad de nuestro entorno informático no depende sólo de un programa de seguridad, mucho menos de un software antivirus, sino que debe estar involucrado netamente el factor humano para atender a una conjunción de procedimientos de seguridad. Un antivirus controlará y evitará un alto porcentaje de potenciales infecciones, pero no controlará que una vulnerabilidad sea explotada por usuarios malintencionados.

Muchas empresas se han encontrado con problemas realmente importantes en sus redes gracias a este gusano, pero fundamentalmente, debido a la inadecuada estructuración de la red. Mientras que muchas otras, simplemente, ni siquiera sintieron el viento de Conficker porque, gracias a la buena gestión de actualización, la debilidad explotada por el malware no existía, es decir, los equipos ya habían sido parcheados.

Por más que parezca una cuestión trivial, la falta de actualizaciones de seguridad representa una de las fallas más comunes en cualquier entorno de información. Por lo tanto, es necesario fusionar todas las buenas prácticas en pos de mantener los entornos libres de amenazas.

Actualización: más información sobre Conficker en nuestro Blog.

Jorge

Categories: Declaraciones, Malware, Vulnerabilidades
3 Comments »