El así llamado “concurso de ofuscamiento de malware” propuesto por los amigos de Race to Zero ya está generando debates contradictorios.
En mi humilde opinión, algo es ético o no lo es…¡y con firmeza sostengo que la creación de nuevo malware para evitar los productos de seguridad “por diversión”, no lo es!
Nosotros, los investigadores antivirus siempre nos hemos opuesto a la creación de nuevo malware bajo cualquier circunstancia. La única excusa para crear malware en ambientes de pruebas que siempre sonó vagamente razonable fue la muy conocida “necesitamos crear nuevas muestras para estudiar en detalle los métodos de ataque”.
Amigos, seamos realistas: tenemos ante nuestros ojos nuevas muestras que a diario surgen por miles; tenemos más que suficiente malware “en vivo” por someter a estudio para mejorar nuestras tecnologías. Así que si la excusa “tal vez sólo una vez” en algún momento fue “casi aceptable”, ya NO lo es en 2008.
La idea de que “los antivirus de signaturas están muertos, y ahora es necesario considerar las técnicas heurísticas, estadísticas y de comportamiento para identificar amenazas emergentes” no es más que un pobre truco publicitario. Nadie, en absoluto, en la industria antivirus depende sólo de signaturas, y no lo hemos hecho por años. En realidad, suena como si la mayoría (léase todos) los escáners antivirus fueran a fallar en las “pruebas” en el “concurso” porque es fácil engañar a los escáners de signaturas y a la heurística estática.
Esto enviaría un claro mensaje a los ciberdelincuentes: “creen más ofuscamiento”. Entonces, este “concurso” sólo estimularía a los ciberdelincuentes en su investigación y desarrollo de nuevas tecnologías de ofuscamiento. Y como de todas maneras se encuentran haciéndolo, lo seguirían haciendo con más ahínco. Gracias, pero no. Los laboratorios antivirus no necesitan este tipo de estimulación; ya tenemos bastante trabajo con las cosas, tal como están ahora.
Las respuestas públicas más positivas denominan al concurso una forma de probar productos. ¡Craso error!
Las pruebas antivirus, como las pruebas para cualquier otro producto, deben ser realizadas por profesionales idóneos, por ejemplo, Andreas Clementi, Andreas Marx o Virus Bulletin, de una manera justa, ética y científica. Es así como funcionan las cosas en una industria respetable.
El “concurso” Race to Zero/DefCon:
- NO es llevado a cabo por profesionales idóneos: sin comentario.
- No es justo: hasta la fecha no se han realizado contactos públicos con fabricantes de soluciones antivirus.
- No es científico: el banco de pruebas no está delineado.
- Y, por último, ¡es 100% antiético! Crear malware es un delito. Fin del cuento.
Por último, ¿qué hay sobre la ley federal norteamericana sobre informática? ¿Y qué hay sobre otras legislaciones? ¿Es legal este “concurso” en los Estados Unidos? ¿La agencia a cargo de la lucha contra la ciberdelincuencia sabe de su existencia?
Entonces, todo se resume a la interrogante: ¿deberíamos tener “concursos” públicos y sin estructura alguna, realizados por personajes ineptos, para “probar” tecnologías delincuenciales ? ¿Qué tal entonces un “concurso de robo en vivo a un banco” para probar los sistemas de seguridad del banco? ¿O quizás un “ensayo de distribución de drogas en una escuela” para probar a la policía antinarcóticos?
Todo puede llevarse a extremos ridículos, incluyendo el análisis de códigos. Respiremos profundamente y concentrémonos en el desarrollo de tecnologías de seguridad, y no en “modificar códigos maliciosos por diversión”.
Fijando límites