211service.com
Las empresas de antivirus deberían ser más abiertas sobre sus descubrimientos de malware del gobierno
La semana pasada nos enteramos de una sorprendente pieza de malware llamada Regístrese que ha estado infectando redes informáticas en todo el mundo desde 2008. Es más sofisticado que cualquier malware criminal conocido, y todos creen que hay un gobierno detrás. Ningún país se ha atribuido el mérito de Regin, pero hay evidencia sustancial que fue construido y operado por los Estados Unidos.
Este no es el primer malware gubernamental descubierto. red fantasma se cree que es chino. octubre Rojo y La Torre se cree que son rusos. La máscara probablemente es español. Stuxnet y Fuego probablemente son de los EE. UU. Todos estos fueron descubiertos en los últimos cinco años y nombrados por investigadores que dedujeron a sus creadores a partir de pistas como a quién se dirigía el malware.
No me gusta la metáfora de la guerra cibernética para el espionaje y la piratería, pero hay una especie de guerra en el ciberespacio. Los países están usando estas armas unos contra otros. Esto nos afecta a todos no solo porque seamos ciudadanos de uno de estos países, sino porque todos somos potencialmente daños colaterales. La mayoría de las variedades de malware enumeradas anteriormente se han utilizado contra objetivos no gubernamentales, como infraestructura nacional, corporaciones y ONG . A veces estos ataques son accidental , pero a menudo son deliberar .
Para su defensa, las redes civiles deben contar con productos y servicios de seguridad comercial. Confiamos en gran medida en productos antivirus de empresas como Symantec, Kaspersky y F-Secure. Estos productos escanean continuamente nuestras computadoras, buscan malware, lo eliminan y nos alertan cuando lo encuentran. Esperamos que estas empresas actúen en nuestro interés y nunca dejen de protegernos deliberadamente de una amenaza conocida.
Es por eso que la reciente revelación de Regin es tan inquietante. El primer anuncio público de Regin fue de Symantec , el 23 de noviembre. La empresa dijo que sus investigadores lo habían estado estudiando durante aproximadamente un año, y anunciaron su existencia porque sabían de otra fuente que lo iba a anunciar. Esa fuente era un sitio de noticias, Intercept, que descrito Regin y sus conexiones estadounidenses al día siguiente. Ambos kaspersky y F-seguro pronto publicaron sus propios hallazgos. Ambos declararon que habían estado rastreando a Regin durante años. Las tres compañías de antivirus pudieron encontrar muestras en sus archivos desde 2008 o 2009.
Entonces, ¿por qué todas estas empresas mantuvieron a Regin en secreto durante tanto tiempo? ¿Y por qué nos dejaron vulnerables todo este tiempo?
Para obtener una respuesta, tenemos que desentrañar dos cosas. Por lo que podemos decir, todas las empresas habían agregado firmas para Regin a su base de datos de detección mucho antes del mes pasado. El sitio web de VirusTotal tiene una firma para Regin a partir de 2011 . Ambos seguridad microsoft y F-seguro comenzó a detectarlo y eliminarlo ese año también. Symantec ha protegido a sus usuarios contra Regin desde 2013 , aunque ciertamente agregó la firma VirusTotal en 2011.
De manera completamente separada y aparentemente independiente, todas estas empresas decidieron no discutir públicamente la existencia de Regin hasta después de que lo hicieran Symantec e Intercept. Las razones dadas varían. Mikko Hyponnen de F-Secure dijo que específico clientes le pidió que no hablara del malware que se había encontrado en sus redes. Fox IT, que fue contratado para eliminar a Regin del sitio web de la compañía telefónica belga Belgacom, no dijo nada sobre lo que descubrió porque no quería interferir con las operaciones de la NSA/GCHQ .
Mi conjetura es que ninguna de las empresas quería salir a bolsa con una imagen incompleta. A diferencia del malware criminal, el malware de nivel gubernamental puede ser difícil de descifrar. Es mucho más elusivo y complicado. Se actualiza constantemente. Regin se compone de varios módulos: Fox IT llámalo un marco completo de muchas especies de malware, lo que hace que sea aún más difícil descubrir qué está pasando. Regin también se ha utilizado con moderación, solo contra unos pocos objetivos seleccionados, lo que dificulta la obtención de muestras. Cuando hace una salpicadura de prensa al identificar una pieza de malware, quiere tener toda la historia. Aparentemente, nadie sintió que tenía eso con Regin.
Sin embargo, esa no es una excusa lo suficientemente buena. A medida que el malware de estado-nación se vuelve más común, a menudo nos faltará la historia completa. Y mientras los países luchen en el ciberespacio, algunos de nosotros seremos objetivos y el resto de nosotros podría tener la mala suerte de estar sentado en el radio de la explosión. El malware de grado militar seguirá siendo esquivo.
En este momento, las compañías de antivirus probablemente estén sentadas sobre historias incompletas sobre una docena más de variedades de malware de grado gubernamental. Pero no deberían. Queremos, y necesitamos, que nuestras empresas de antivirus nos digan todo lo que puedan sobre estas amenazas tan pronto como las conozcan, y que no esperen hasta que la publicación de una historia política les impida permanecer en silencio.
bruce schneier es un tecnólogo de seguridad. Su último libro es Mentirosos y atípicos: Habilitar las necesidades de la sociedad fiduciaria para prosperar .