28 enero 2014

Entrevista a Alberto Ortega, analista de malware

Alberto, en su lucha diaria con
los zombies
Hoy tengo el inmenso placer de poder entrevistar a Alberto Ortega, amigo personal y una de las personas más sorprendentes con las que he tenido el placer de colaborar.

Conocí a Alberto hace unos cuantos años en un evento de Panda, se acercó y con un toque de humildad y timidez se puso a hablarme de PenTBox, una suite de herramientas ofensivas escritas en Ruby. Tras esa charla, Alberto entró directamente al radar como persona a seguir.

Posteriormente logramos convencerlo para que fuese colaborador de Security By Default, donde nos brindó unos post con mucho nivel, también fue uno de los referentes del grupo 'aw3a' y estuvieron compitiendo con mucha soltura en varios CTFs.

Hoy día es analista de malware en AlienVault y una de las personas que siempre viene a mi cabeza cuando pienso en análisis de malware.

1- Mucha gente ya te conoce, pero para aquella minoría que aun no te conozca, cuéntanos quién eres y qué haces

Me llamo Alberto, vivo en Madrid, y desde que empecé a estudiar me he centrado en la informática. Ya le dedicaba mucho tiempo antes, pero cuando se empieza con los estudios y especialmente a trabajar de ello, la cosa cambia bastante, o al menos lo hizo para mí.

Siempre me ha apasionado que sea un campo en el que muchísima gente aporta diariamente contenidos para el público, y muchas veces sin intenciones de conseguir nada a cambio. Buen ejemplo de ello es la cantidad de software libre e investigaciones publicadas que tenemos disponibles, y su calidad.

Cuando tengo tiempo y surge, también juego algún que otro CTF, o toqueteo algún cacharro.

A parte de esto, me gustan los videojuegos, el cine, viajar, ... lo típico supongo :)

2- Ahora mismo estás muy focalizado en el 'mundo malware', ¿Cual es tu opinión sobre el 'estado del arte' en este campo?

Por un lado, tenemos una industria de desarrollo y venta de malware 100% profesionalizada, y que se desarrolla íntegramente en Internet. La mayoría de las veces el comercio se lleva a cabo sin que las partes se conozcan (más que por referencias y un nick), y se cuidan bien de guardar el anonimato. Aún con todo esto, y el hecho de que gran parte sea ilegal, es un negocio que funciona muy bien, y hay muchísima gente dentro que no ha tenido ni tendrá nunca problemas con la ley.

Por el otro lado, tenemos todo el panorama de la "ciberguerra", el espionaje y demás, que ahora está muy de moda. Para los países es una herramienta, pero también hay empresas que están aprovechando el pelotazo. Ejemplos visibles de ello son VUPEN o Hacking Team. Aquí una presentación interesante del 30c3 sobre el tema, To Protect And Infect.

3- Las casas de Antivirus siempre se descuelgan con notas de prensa hablando de cientos de miles de programas malware que salen 'a diario' ¿Es realmente tan cuantiosa la amenaza?

¿Hablamos de desarrollos nuevos? :)

Si es así, no creo que las cifras sean tan escandalosas. Ahora bien, si contamos todas las pequeñas modificaciones, nuevas formas de empaquetar o distribuir el malware, ventas o intercambios que se producen cada día, contabilizamos cada carga maliciosa de un esquema típico de infección, etc, entonces seguramente se superen esas cifras con facilidad.

Personalmente creo que es una métrica muy "sonada" y muy poco concreta a la vez. Contabilizar el número de infecciones y el software que usaban las víctimas en el momento de la infección es mucho más real.

4- Una de las cosas más 'divertidas' a la hora de analizar malware es la forma en la que el creador trata de hacer la vida imposible al analista ¿cual ha sido el método que más te ha impresionado?

Recuerdo un truco que utilizaba una muestra dirigida que estuvimos analizando en su momento.

A los objetivos les llegaba un .doc que tenía un exploit para MS Office. Si se ejecutaba correctamente, se extraía un binario de Nvidia firmado digitalmente, una DLL de Nvidia también, y un fichero boot.ldr con datos binarios.

La situación era curiosa porque el binario y la DLL parecían totalmente legítimos. El truco estaba en el boot.ldr, que era interpretado por los dos anteriores y conseguía ejecutar la carga maliciosa, que resultó ser PlugX.

No es una técnica para hacer la vida complicada a un analista que tenga todo el esquema de la infección, ya que algo que ha salido de un exploit encontrado "in the wild" no puede ser bueno, pero sí causa que una vez infectado sea complicado darse cuenta de que un binario de Nvidia es lo que está ejecutando el malware.


5- Hace no mucho liberaste pafish, una prueba de concepto con muchas rutinas para detectar la presencia de máquinas virtuales y entornos de debug. Sin duda fue una apuesta valiente, pero ¿has recibido alguna crítica por hacer la vida más fácil a los creadores de malware?

En ese sentido no, creo que el objetivo del proyecto se ha entenido bastante bien en general. Es verdad que inicialmente levantó algunas ampollas en varios desarrolladores de software para hacer sandboxing de malware.

Pero estoy contento, porque aunque al principio no les gustara, luego les ha forzado a tener en mente éstas técnicas, que es la razón de ser del proyecto.

¿Respecto a malware que esté usando el código? Tengo a algunos fichados, pero es lo bueno, cómo es código propio es muy facil de detectar en los feeds que tenemos :)

Además he distribuido alguna firma para detectarlo, ya que entiendo que es algo potencialmente no deseado, y no todo el mundo quiere tenerlo en su $HOME_NET.

6- Ahora mismo estás en AlienVault, una de esas empresas con origen Español de la que estamos muy orgullosos, ¿Puedes contarnos interioridades de la empresa?

Te puedo contar que he conocido a gente muy buena dentro de la empresa, y que el porcentaje de gente brillante que está (y ha estado) allí es inusualmente alto.

Aunque de primeras no te impresione alguien, tarde o temprano te puede dejar alucinado, creo que es lo que más me gusta.

7- Si tratas de mirar en perspectiva de aquí a 5 años ¿Donde te ves? ¿Te planteas 'fugarte' al extranjero?

Difícil pregunta, de aquí a 5 años me veo todavía en seguridad (espero), y no sé si en el mismo área pero me gustaría que estuviera relacionada o fuera cercana a la que estoy ahora.

¿Extranjero? Bueno, creo que en seguridad aún con la que tenemos encima hay trabajo, lo que no quita que me apetezca salir de aquí :)

8- Con tu visión de persona relacionada con el malware, ¿Puedes darnos una previsión a corto plazo sobre como va a evolucionar?

Si tuviera que apostar por algo, diría que el mundo del crimeware no va a sufrir grandes cambios en su modelo, aunque sí en las técnicas, cómo ha venido haciendo constantemente desde hace tiempo, que no paran de evolucionar y mejorarse.

Y en la parte de malware de los gobiernos, creo que empezarán a exigir mucha más delicadeza a sus desarrolladores, en el sentido de que las piezas tarden mucho más en salir a la luz. Es algo que ya está pasando, pero seguro que mejorarán aún más.

9- Finalmente la pregunta más típica: Si alguno de nuestros lectores quiere ser como tú ¿De que forma tendría que empezar y cómo debería formarse?

Que se ponga a pulsar teclas, que al final es lo que vale. Y que colabore y publique, hay un montón de proyectos interesantes de todos los colores en Internet que puedes usar, modificar, mejorar, e incluso aportar a ellos, ésto es mucho más facil ahora que antes.

Muchas gracias Alberto, ha sido un placer el haber podido entrevistarte.

Podéis seguir a Alberto en twitter

4 comments :

newlog dijo...

Muy interesante la entrevista :)


Molaría saber como es su día a día!


Un saludo,
newlog

Renaldo dijo...

Este año va a ser el clave para ver si la Rooted tiene criterio y no es una cuna de amiguismos... Si Chema va a hablar de Latch se les verá el plumero clarisimamente por promocionar a amiguetes a que promocionen su software de código cerrado y de pago.


Espero que Rooted esté a la altura de la conferencia que pretende ser.
Un saludo

Román Ramírez dijo...

Qué gracioso :)

Teniendo en cuenta que, lo digo todos los años, RootedCON es un proyecto que hemos conseguido evolucionar gracias, principalmente, a gente que nos quiere bien y, subrayo un nombre en concreto, CHEMA ALONSO, tu comentario me parece, por una parte poco informado, por otra menos informado todavía de lo que significa el nombre Chema Alonso para todos los que estamos en Seguridad y somos hispanoparlantes pero, peor todavía, es un comentario evidentemente lleno de odio particular.

Pues sí, va a venir Chema a hablar DE LO QUE LE DE LA GANA. Porque tenemos confianza absoluta en él. Porque es un referente del sector, aquí en España y en todo el mundo (España en concreto, no saldría en ningún radar de expertos internacionales si no fuera por mucha de la labor de Chema). Porque ayuda a crear COMUNIDAD. Porque siempre ha estado ahí desde el día 0 (¿estabas tú allí para ayudarnos cuando el máximo nivel de patrocinio que nos daban eran 500 euros, Renaldo? ¡Gracias por tu ayuda!).

Y volverá a venir todas y cada una de las veces que quiera, porque es de la familia.

Sinceramente, te animo a que no vengas a la conferencia que tú pretendes que sea y que vengas a la que es y será.

Gabriel dijo...

Una pregunta, ¿Cómo cambio la contraseña del tdserver? porque me aparece nombre del alumno y contraseña pero me la olvide y no aparece para cambiarla...