News

Fijando límites

El así llamado “concurso de ofuscamiento de malware” propuesto por los amigos de Race to Zero ya está generando debates contradictorios.

En mi humilde opinión, algo es ético o no lo es…¡y con firmeza sostengo que la creación de nuevo malware para evitar los productos de seguridad “por diversión”, no lo es!

Nosotros, los investigadores antivirus siempre nos hemos opuesto a la creación de nuevo malware bajo cualquier circunstancia. La única excusa para crear malware en ambientes de pruebas que siempre sonó vagamente razonable fue la muy conocida “necesitamos crear nuevas muestras para estudiar en detalle los métodos de ataque”.

Amigos, seamos realistas: tenemos ante nuestros ojos nuevas muestras que a diario surgen por miles; tenemos más que suficiente malware “en vivo” por someter a estudio para mejorar nuestras tecnologías. Así que si la excusa “tal vez sólo una vez” en algún momento fue “casi aceptable”, ya NO lo es en 2008.

La idea de que “los antivirus de signaturas están muertos, y ahora es necesario considerar las técnicas heurísticas, estadísticas y de comportamiento para identificar amenazas emergentes” no es más que un pobre truco publicitario. Nadie, en absoluto, en la industria antivirus depende sólo de signaturas, y no lo hemos hecho por años. En realidad, suena como si la mayoría (léase todos) los escáners antivirus fueran a fallar en las “pruebas” en el “concurso” porque es fácil engañar a los escáners de signaturas y a la heurística estática.

Esto enviaría un claro mensaje a los ciberdelincuentes: “creen más ofuscamiento”. Entonces, este “concurso” sólo estimularía a los ciberdelincuentes en su investigación y desarrollo de nuevas tecnologías de ofuscamiento. Y como de todas maneras se encuentran haciéndolo, lo seguirían haciendo con más ahínco. Gracias, pero no. Los laboratorios antivirus no necesitan este tipo de estimulación; ya tenemos bastante trabajo con las cosas, tal como están ahora.

Las respuestas públicas más positivas denominan al concurso una forma de probar productos. ¡Craso error!

Las pruebas antivirus, como las pruebas para cualquier otro producto, deben ser realizadas por profesionales idóneos, por ejemplo, Andreas Clementi, Andreas Marx o Virus Bulletin, de una manera justa, ética y científica. Es así como funcionan las cosas en una industria respetable.

El “concurso” Race to Zero/DefCon:

  • NO es llevado a cabo por profesionales idóneos: sin comentario.
  • No es justo: hasta la fecha no se han realizado contactos públicos con fabricantes de soluciones antivirus.
  • No es científico: el banco de pruebas no está delineado.
  • Y, por último, ¡es 100% antiético! Crear malware es un delito. Fin del cuento.

Por último, ¿qué hay sobre la ley federal norteamericana sobre informática? ¿Y qué hay sobre otras legislaciones? ¿Es legal este “concurso” en los Estados Unidos? ¿La agencia a cargo de la lucha contra la ciberdelincuencia sabe de su existencia?

Entonces, todo se resume a la interrogante: ¿deberíamos tener “concursos” públicos y sin estructura alguna, realizados por personajes ineptos, para “probar” tecnologías delincuenciales ? ¿Qué tal entonces un “concurso de robo en vivo a un banco” para probar los sistemas de seguridad del banco? ¿O quizás un “ensayo de distribución de drogas en una escuela” para probar a la policía antinarcóticos?

Todo puede llevarse a extremos ridículos, incluyendo el análisis de códigos. Respiremos profundamente y concentrémonos en el desarrollo de tecnologías de seguridad, y no en “modificar códigos maliciosos por diversión”.

Fijando límites

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada