Hace unas semanas, mis buenos amigos de
Sophos Iberia,
Juan Antonio Gallego y
Pablo Teijeira, me invitaron a conocer, en sus oficinas de Madrid, a
Vanja Svajcer, uno de sus mejores expertos en malware e investigador principal de Sophoslabs. Tras una muy agradable conversación, en la que tratamos unos cuantos trending topics de la seguridad pasada y presente, tuve al oportunidad de enviar a Vanja un correo con varias preguntas.
Primero que nada introduciros una pequeña BIO de Vanja:
Vanja Svajcer es un veterano de la industria, con más de 15 años de experiencia en malware y búsqueda de vulnerabilidades. Vanja se unió a Sophos en 1998, trabajando en la detección de virus para MS-DOS y macro para Word, y progresó para llegar a ser un reconocido experto en el campo de la protección ante el malware. A través de su carrera en Sophos, Vanja fue el responsable de desarrollo de sistems automáticos de análisis, tecnología de detección de comportamiento, análisis de vulnerabilidades y tiene patentes en dichas áreas. Recientemente, su interés incluyó malware para sistemás operativos para dispositivos móviles y Linux. Es speaker habitual en conferencias de seguridad como EICAR, Virus Bulletin, RSA, Infosecurity y Websec.
SbD: Vanja, diariamente vemos cómo se desarrolla la industria del malware desarrolla más rápido que la de del antimalware. ¿Son los antivirus útiles actualmente?
Vanja: Creo que estaremos de acuerdo que el software antivirus es todavía muy útil a día de hoy. En un estudio reciente, Microsoft usaba su MSRT (Microsoft Software Removal Tool) para medir la efectividad media del software antivirus, comparando el ratio de infección de ordenadores protegidos con software antivirus versus los que no lo estaban o con el antivirus sin actualizar. El estudio de Microsoft muestra claramente que, los ordenadores desprotegidos, tienen al menos 5 veces más probabilidad de ser infectados que los protegidos (Mira en
http://www.microsoft.com/security/sir/story/default.aspx#!antivirus_statistics para más detalles)
Sin embargo, la efectividad de las técnicas estándar de antivirus, que incluyen todas las de inspección de contenidos de ficheros antes que el fichero se ejecute en el ordenador está disminuyendo cada vez más.
Pero, definitivamente deberíamos considerar que el software antivirus de hoy es muy diferente al de hace 10 o incluso 5 años. Mientras que en el pasado, los antivirus sólo se metían en detección en el contenido de ficheros individuales, hoy hay tres partes principales de protección, que son el contenido (tradicional), reputación y por último pero no menos importante, comportamiento. Estos tres componentes pueden ser observados individualmente. Por ejemplo, mi navegador está intentando acceder a una URL con mala reputación o en cualquier combinación, mi navegador ha accedido a un sitio de reputación media que ha lanzado una descarga de un fichero Jar de Java ofuscado (detección de contenido) y que el runtime de Java ha lanzado la descarga de un fichero ejecutable PE (comportamiento + contenido). Las nuevas tecnologías anti-malware están siendo desarrolladas constantemente.
Lamentablemente, mucha gente, incluso en la comunidad de seguridad, creen que el antivirus está descatalogado pero no ofrecen otra alternativa viable y suficientemente simple para poder desplegar en cientos de millones de ordenadores. Se podría discutir si la seguridad debería ser construida en el sistema operativo, pero esto no es claramente el caso con Windows, e incluso algunos sistemas operativos más modernos, como Android.
Algunas decisiones de diseño consciente que la gente toma mientras construye el Sistema Operativo vuelven a cazarles en el futuro y se hacen progresivamente más difícil de parchear con el tiempo.
Un ángulo prometedor en la seguridad Endpoint es el también llamado “whitelisting” en vez de bloquear contenido malo, el producto puede securizar el sistema permitiendo sólo el despliegue de software bueno conocido.
Aún, hay problemas con esta aproximación puesto que no tiene en cuenta ficheros de datos tradicionales que pueden contener contenido ejecutable, sin mencionar código Javascript en páginas HTML. Por supuesto, whitelisting es una combinación de inspección de contenido y de reputación, y por tanto igualmente aplicable a la tecnología de blacklisting.
Por tanto, pienso que aún hay vida, en el futuro próximo, para las tecnologías antivirus (quizá sera mejor llamarlas Securidad Endpoint)
SbD: ¿Por qué los anti-malware no aplican técnicas de hardening cuando son instalados? (cosas como monitorización del registro, deshabilitar servicios innecesarios, aplicaciones al arranque, fichero /etc/hosts, cambios en la configuración de proxy de sistema, etc,…)?
Vanja: Esta noción es de nuevo algo incorrecto. La mayoría del software de seguridad tiene un componente de tiempo real que monitoriza y previene potencial comportamiento malicioso. Algunas personas también se refieren a estos componentes como bloqueadores de comportamiento o HIPS (Host Intrusion Prevention System).
En esencia, el software de seguridad instala hooks en los modos usuario y kernel que permiten interceptar eventos de sistema. Estos eventos pueden ser inspeccionados individualmente o como parte de una secuencia, de manera que el software de seguridad pueda decidir si permitir, bloquear o modificar el evento (por ejemplo redirigiendo una escritura de registro en un valor shadow de registro)
Algo de lo que estoy justamente seguro que el software antimalware no hará, es deshabilitar servicios innecesarios porque para hacer eso deberíamos saber que servicios no son necesarios. Si el servicio no es malicioso, creo que deshabilitarlo no es tarea del software antimalware, sino del sistema operativo o del sistema de gestión de software que permite al usuario o al administrador, aplicar varias políticas de control sobre los servicios de sistema.
SbD: En Security By Default, mi compañero Yago hizo un PoC sobre una herramienta que era eficaz contra el ransomware... ¿Cómo hacéis en Sophos para proteger a los usuarios contra este tipo de malware? ¿Consideráis las sugerencias de los usuarios para mejorar vuestros productos?
Vanja: Este es un concepto muy interesante y debería ser aplicado a cualquier herramienta de seguridad. Hasta ahora nuestra política no era añadir contenido adicional a un ordenador y hacer que los usuarios se confundan más con ficheros de nombres aleatorios apareciendo en sus sistemas. El principio de ficheros señuelo es útil, pero también puede requerir que el usuario final entienda más sobre seguridad. También necesitan ser capaces de distinguir ficheros creados por el software de seguridad y ficheros que puede haber creado software malicioso.
En endpoint, Sophos usa una combinación de detección de contenido (inspección de ficheros y memoria) para proteger contra amenazas como el ransomware. Además de eso, nuestra solución UTM bloqueará conexiones salientes a servidores C&C utilizados por malware como CryptoLocker.
SbD: ¿Cuál es tu opinión sobre los troyanos esponsorizados por los Estados, en los que tienes que tener en una lista blanca algún tipo de malware que “ayude a los gobiernos” para actuar contra el cibercrimen, atacando población sospechosa?
Vanja: Hasta ahora, sólo he oido que los gobiernos han estado preguntando a algunos fabricantes de seguridad sobre la posibilidad de añadir a una lista blanca sus troyanos, pero no estoy al corriente que Sophos haya sido uno de ellos. El concepto de malware de gobiernos no es nuevo. Sophos ha expresado publicamente nuestra opinión cuando el gobierno desarrolló malware allá por 2001 con el caso del backdoor del FBI conocido como Magic Lantern (la puedes ver aquí
http://www.sophos.com/en-us/press-office/press-releases/2001/11/va_magiclantern.aspx) y no creo que hayamos cambiado nuestra opinión desde ese momento.
SbD: Vanja, muchas gracias por haber compartido tu tiempo con nosotros y con nuestros lectores!
