10 enero 2015

¿Se puede prevenir todo el malware?

Me surge la duda leyendo el artículo de José López Arredondo en Cinco Días sobre el informe de FireEye ("Maginot Revised: More real-world results from real-world tests").

Es evidente que el malware es actualmente uno de los grandes caballos de batalla en el mundo de la seguridad. Es utilizado ampliamente para infectar nuestros equipos, bien incrustándolo en correos electrónicos o ficheros enviados por correo o también difundiéndolo a través de sitios web infectados aprovechando navegadores vulnerables. En cualquier caso, con independencia del vector utilizado, las herramientas de protección (End Point Protection) sufren para detectar y evitar las infecciones dado el alto volumen de malware generado de manera continua y las variaciones utilizadas, por no hablar de los ataques dirigidos (que diseñan malware específico para cada ataque).

Pero, ¿quiere esto decir que hoy por hoy sea imposible detener al malware? Mi opinión es que, clarísimamente, sí que se puede evitar el malware. Pero, evidentemente, no haciendo lo mismo que venimos haciendo hasta ahora.

Actualmente los mecanismos utilizados están basados en lo que se denomina listas negras. Es decir, tenemos una lista que incluye todo aquello que es malo (o que se parece mucho a algo malo que ya hemos visto) y que no se debe ejecutar. Este tipo de mecanismos tiene varias cosas buenas, pero esencialmente, que son fáciles de mantener, sobre todo desde la implantación de modelos cloud que permiten una mayor agilidad para compartir información. Sin embargo, tienen una cosas muy mala y es que si un malware es nuevo y no se ha visto antes, va a poder ejecutarse puesto que no encajara en los patrones implementados por estas soluciones (es como si para abrir una cerradura, dejáramos que cualquier llave la abriera, excepto las que sabemos que no son buenas).

Pero existen otro tipo de soluciones, denominadas listas blancas. Este tipo de soluciones, por contra, solo dejan ejecutarse aquellas aplicaciones en las que podemos confiar (lo que las hace, por otra parte, muy eficientes). De forma que solo debemos incluir en la lista blanca las aplicaciones que hemos verificado previamente y estamos seguros de que son legítimas y no incluyen ningún tipo de malware, lo cual es mucho más eficaz, desde un punto de vista de seguridad.

Entonces, si las listas blancas son más eficaces y más eficientes, ¿por qué no se utilizan? Pues la respuesta es la de siempre, son mucho más difíciles de mantener, nos obliga a identificar las aplicaciones a autorizar, a probarlas previamente, a discutir con los que quieren incluir aplicaciones no-corporativas y a mantener dicho listado actualizado con las nuevas versiones de los ejecutables, etc... en definitiva, muchísimo trabajo que muy pocos están dispuestos a asumir para estar más seguros.

En definitiva, podría prevenirse el malware pero habría que estar dispuesto a asumir el coste que supone el mantenimiento de una lista blanca de ejecutables autorizados... ¿merece la pena? El apetito al riesgo y el impacto asumible de tu organización lo dirán.

03 enero 2015

A vueltas con Sony, Corea del Norte y Estados Unidos

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

No es que seamos amantes de las teorías conspiranoicas, pero es que nos lo ponen muy fácil. Nos referimos al reciente anuncio de Estados Unidos de aumentar las sanciones a Corea del Norte en relación con el ciberataque a Sony. Esta circunstancia supone señalar directamente al gobierno de Corea del Norte como autor material de los hechos, lo cual no es, en absoluto, trivial. Sobre todo, teniendo en cuenta que multitud de expertos (como Bruce Schneier o Brian Krebs entre otros, entre muchos otros, podríamos decir) dudan de que se pueda atribuir este ataque a Corea del Norte a pesar de las similitudes que se hayan podido detectar con herramientas presuntamente utilizadas por hackers de Corea del Norte previamente y de que nadie dude de las capacidades técnicas de Corea del Norte para llevar a cabo ciberataques. [Incluso en el caso de que se pudiera atribuir el ataque a Corea del Norte, ¿hasta qué punto se puede considerar un acto de guerra y no un "simple" acto de vandalismo como el propio Obama declaró en un principio? Podéis leer más sobre esta duda en este artículo de Chris Weigant]

Pero es que si analizamos las sanciones impuestas por EE.UU. nos encontramos que afectan a diez funcionarios relacionados con la venta de misiles y armas (dos son representantes en Irán y otros cinco actúan en Siria, Rusia, China y Namibia), es decir, nada que ver con el ataque a Sony y a tres entidades norcoreanas: la Oficina General de Reconocimiento (principal organización de inteligencia), la Corporación de Comercio para el Desarrollo de Minas (principal proveedor de armas y exportador de equipamiento relacionado con misiles y armas tradicionales) y la Corporación de Comercio Tangun de Corea (responsable de la compra de tecnología y equipos para soportar los programas de defensa).

Como decíamos al principio, todo este escenario hace que le salten las alarmas a cualquier persona por medianamente cabal que sea: Si a un ataque lleno de incertidumbres, le unimos unas sanciones que alcanzan a entidades que nada tienen que ver con el asunto, cualquiera podría pensar que a todos les ha venido bien señalar con el dedo a Corea del Norte: Al gobierno de Estados Unidos porque quiere enviar una señal a todos aquellos que estén pensando en (ciber)atacarles y también a su Senado para que siga aprobando dotaciones presupuestarias para mejorar sus cibercapacidades, a Sony porque le resultará más fácil defenderse en los juicios que tiene por delante y, si nos apuráis, al gobierno de Corea del Norte que "muestra su capacidad" para enfrentarse a un gigante... pero, en el fondo, no puede dejar de sonarnos a algo que ya vivimos hace algunos años en relación a la supuesta existencia de unas armas masivas en un país de Oriente Medio.

Lo que desde luego sí que es una realidad es que el ciberespacio es ya utilizado por todos los Gobiernos como un escenario más en el que realizan sus operaciones y dónde cada vez más tendremos que ser muy escépticos para no creernos todo lo que nos dicen (como dice @lawwait en su análisis de este mismo asunto), al menos, mientras no mejoren nuestras capacidades para atribuir los ataques que están sucediendo.