211service.com
La era de los antivirus ha terminado
Hoy hace dos semanas, los laboratorios de seguridad informática en Iran , Rusia , y Hungría anunció el descubrimiento de Flame, el malware más complejo jamás encontrado, según CrySyS Lab de Hungría.
Durante al menos dos años, Flame ha estado copiando documentos y grabando audio, pulsaciones de teclas, tráfico de red y llamadas de Skype, y tomando capturas de pantalla de computadoras infectadas. Esa información se pasó a uno de varios servidores de comando y control operados por sus creadores. En todo ese tiempo, ningún software de seguridad dio la alarma.
Flame es solo el último de una serie de incidentes que sugieren que el software antivirus convencional es una forma anticuada de proteger las computadoras contra el malware. Flame fue un fracaso para la industria antivirus, Mikko Hypponen, fundador y director de investigación de la firma antivirus F-Secure, escribió la semana pasada. Realmente deberíamos haber podido hacerlo mejor. Pero no lo hicimos. Estábamos fuera de nuestra liga, en nuestro propio juego.
Los programas que son el eje de la seguridad informática para empresas, gobiernos y consumidores funcionan como el software antivirus en las PC de los consumidores. Las amenazas se detectan comparando el código de los programas de software y su actividad con una base de datos de firmas de malware conocido. Las empresas de seguridad como F-Secure y McAfee investigan constantemente los informes de nuevos programas maliciosos y actualizan sus listas de firmas en consecuencia. Se supone que el resultado es un muro impenetrable que mantiene alejados a los malos.
Sin embargo, en los últimos años, los ataques de alto perfil no solo contra el gobierno iraní sino también contra Gobierno de los Estados Unidos han tenido lugar utilizando un software que, como Flame, fue capaz de superar el software basado en firmas. Muchas empresas estadounidenses técnicamente sofisticadas, incluidas Google y la empresa de seguridad informática RSA, han sido atacadas de manera similar, aunque con malware menos costoso, por sus secretos corporativos. Las empresas más pequeñas también se ven comprometidas de forma rutinaria, dicen los expertos.
Algunos expertos y empresas ahora dicen que es hora de degradar la protección de estilo antivirus. Sigue siendo una parte integral [de la defensa contra malware], pero no será lo único, dice Nicolas Christin , investigador de la Universidad Carnegie Mellon. Necesitamos dejar de intentar construir líneas Maginot que parezcan a prueba de balas pero que en realidad sean fáciles de sortear.
Tanto Christin como varias de las principales empresas emergentes de seguridad están trabajando en nuevas estrategias de defensa para dificultar los ataques e incluso permitir que aquellos a los que se dirigen contraataquen.
La industria se ha equivocado al centrarse en las herramientas de los atacantes, los exploits, que son muy cambiantes, dice Dmitri Alperovitch, director de tecnología y cofundador de CrowdStrike , una startup en California fundada por veteranos de la industria antivirus que ha recibido $ 26 millones en fondos de inversión. Tenemos que centrarnos en el tirador, no en el arma; las tácticas, las partes humanas de la operación, son las menos escalables.
CrowdStrike no está listo para hacer públicos los detalles de su tecnología, pero Alperovitch dice que la compañía planea ofrecer una especie de sistema de alerta inteligente que puede detectar incluso ataques completamente nuevos y rastrear sus orígenes.
Este tipo de enfoque es posible, dice Alperovitch, porque, aunque un atacante podría modificar fácilmente el código de un virus como Flame para evadir los escáneres antivirus una vez más, todavía tendría el mismo objetivo: acceder y extraer datos valiosos. La compañía dice que su tecnología se basará en big data, lo que posiblemente significa que analizará grandes cantidades de datos relacionados con muchos rastros de actividad en el sistema de un cliente para averiguar cuál podría ser de un infiltrado.
Christin, de Carnegie Mellon, quien recientemente ha estado investigando las motivaciones económicas y los modelos comerciales de los atacantes cibernéticos, dice que tiene sentido. Los costos humanos de estos sofisticados ataques son uno de los mayores, dice. Frustrar un ataque ya no es una cuestión de neutralizar un fragmento de código de un genio solitario, sino de derrotar a grupos de personas hábiles. Necesita expertos en su campo que también puedan colaborar con otros, y son raros, dice Christin. El software de defensa que puede cerrar las tácticas más comunes lo hace aún más difícil para los atacantes, dice.
Otras empresas han comenzado a hablar en términos similares. Se remonta al eslogan de las fuerzas del orden de los 80: 'El crimen no paga', dice Sumit Agarwal, cofundador de Seguridad de la forma , otra startup en California que recientemente salió del modo sigiloso. La compañía tiene $ 6 millones en fondos del ex director ejecutivo de Google, Eric Schmidt, entre otros. La compañía de Agarwal también guarda silencio sobre su tecnología, pero su objetivo es aumentar el costo de un ciberataque en relación con la recompensa económica, por lo que no vale la pena llevarlo a cabo.
Una empresa con un enfoque similar es Mykonos Software, que desarrolló una tecnología que ayuda a proteger los sitios web al perder el tiempo de los piratas informáticos para sesgar la economía de un ataque. Mykonos fue comprada por la empresa de redes Juniper a principios de este año .
Las empresas antivirus se han apresurado a señalar que Flame no era un virus informático corriente. Provenía del mundo del espionaje internacional, que cuenta con muchos recursos. Pero tales armas cibernéticas causan daños colaterales (el gusano Stuxnet dirigido al programa nuclear iraní en realidad infectó a unas 100.000 computadoras), y las características de sus diseños están siendo adoptadas por delincuentes y grupos con menos recursos.
Nunca tantos miles de millones de dólares en tecnología de defensa fluyeron al dominio público, dice Agarwal de Shape Security. Si bien el ejército de EE. UU. Hace todo lo posible para evitar que los aviones o submarinos caigan en manos de otros, el malware militar como Flame o Stuxnet está disponible para que cualquiera lo inspeccione, dice.
Agarwal y Alperovitch de CrowdStrike dicen que el resultado es una nueva clase de malware que se utiliza contra empresas estadounidenses de todos los tamaños. Alperovitch afirma saber de bufetes de abogados relativamente pequeños que han sido atacados por competidores más grandes y empresas de tecnología verde con menos de 100 empleados que tienen secretos en la mira.
Alperovitch dice que su compañía permitirá a las víctimas defenderse, dentro de los límites de la ley, al identificar también la fuente de los ataques. Hackear sería ilegal, pero hay medidas que puede tomar contra las personas que se benefician de sus datos que elevan los costos comerciales de los atacantes, dice. Entre ellos se incluyen pedirle al gobierno que presente un caso ante la Organización Mundial del Comercio o hacer público lo que sucedió para avergonzar a los perpetradores del espionaje industrial, dice.
La investigación de Christin y otros académicos ha demostrado que existen cuellos de botella que podrían permitir una acción legal relativamente simple para neutralizar las operaciones de ciberdelito. Christin y sus colegas analizaron las estafas que manipulan los resultados de búsqueda para promocionar farmacias ilícitas y concluyeron que la mayoría podría detenerse si se reprimiera solo un puñado de servicios que redirigen a los visitantes de una página web a otra. Y los investigadores de la Universidad de California, San Diego, demostraron el año pasado que los ingresos de la mayor parte del spam del mundo pasan a través de solo tres bancos. La intervención más eficaz contra el spam sería cerrar esos bancos o introducir una nueva regulación, dice Christin. Estos sistemas complejos a menudo tienen puntos concentrados en los que puede concentrarse y hacen que sea muy costoso llevar a cabo estos ataques.
Pero Agarwal advierte que incluso las represalias dentro de la ley pueden ser mal juzgadas: imagina que eres una gran empresa y accidentalmente te cruzas en el camino de la mafia rusa. Puede provocar un problema mayor de lo que pretendía.