lunes, 19 de noviembre de 2012

Cómo se veía el futuro del malware en 2002 (y III)


Han pasado más de 10 años desde un artículo titulado "The attack of the superworms" en el que, en 2002, se pronosticaba hacia dónde podía ir el malware y cuáles serían las características del código malicioso de hoy. ¿Acertaron?

Stephen Trilling, de Symantec, también decía entonces:

"Llevarán consigo un número de exploits dentro una "cabeza nuclear" [...] encontrarán algo que no esté parcheado y te pillarán. No creo que ninguna compañía esté totalmente parcheada [...] piensa en todas las vulnerabilidades que salen hoy cada día y en número de servidores de una gran organización. Los administradores no tienen tiempo."

Stephen Trilling
Seguía centrándose en los gusanos, como ente independiente que gestionaba todo el ataque y la infección. El malware está dividido hoy en servidor y cliente (o agente infector e infraestructura), donde es el servidor el que maneja la inteligencia y gestiona la explotación o recopila los datos robados. Existe poco malware que funcione por sí mismo en un entorno sin red. Lamentablemente, las circunstancias sobre las vulnerabilidades que retrata, siguen totalmente vigentes hoy en día.

Trilling  añadía:

"Con la mensajería instantánea, 
estás conectado todo el tiempo así 
que eres vulnerable todo el tiempo"

Acierta en su propuesta de a mayor conectividad, mayor exposición. Pero quizás no supieron prever la "nube" (y la exposición absoluta del navegador), y la conectividad de multitud de servicios a través de HTTP.

Lo que no predijeron

Por supuesto que es muy complicado acertar en estos aspectos, y no se puede reprochar absolutamente nada a quien se aventura a pronosticar por dónde irán las tendencias del futuro. Es complejo y solo sirve como ejercicio curioso.

Quizás se centraron en la autopropagación (gusanos) como estrategia ganadora del malware común en el futuro de 2002. El hecho es que hoy, los gusanos están "en extinción", incluso el malware que se autorreplica es escaso. Hoy la propagación es a través del navegador y la ingeniería social en el correo.

No supieron ver el malware para los dispositivos móviles como un futuro provechoso mientras que hoy el malware para Android sigue creciendo, a la espera de que se popularice Windows 8 en tabletas  y teléfonos. Esto puede traer un panorama interesante porque probablemente, se podrá infectar el teléfono desde el ordenador y viceversa. Tampoco se intuyó la explosión del malware "hágalo usted mismo" donde se proporcionan frameworks completos para crear tu propio troyano y distribuirlo o del tráfico de vulnerabilidades y del malware como servicio que todo esto acarrearía...

En resumen, sí parece que se intuía la capacidad técnica que podía llegar a desarrollar el malware, su relación con las vulnerabilidades y su persistencia en el sistema. Olvidaron quizás el aspecto práctico y el cariz de industria que ha tomado el mundo vírico. No es necesario ser vistoso ni grandes fuegos artificiales para funcionar y perdurar: como cualquier empresa, la industria del malware necesita inversión, investigación, gestión de recursos y eficacia, y para ello gestiona y explota los recursos actuales a su conveniencia. Pero... ¿fue un error centrarse demasiado en los puntos más "sensacionalistas"?

Lo que predijeron

Curiosamente, esa capacidad "fantasiosa" con la que describen las capacidades de los "gusanos", puede (con todas las salvedades posibles) incluso ajustarse a la predicción si jugamos en otra liga fuera del malware "común". Con Stuxnet como referente y el espionaje industrial, encontramos que "contenía" vulnerabilidades previamente desconocidas, actuaba como gusano, usaba certificados válidos para pasar desapercibido (algo al alcance de pocos) y robaba información confidencial... cualidades nombradas en cierta manera en ese artículo de 2002 y que reunía Stuxnet, descubierto en 2010. Incluso, el malware usado en la operación Aurora contra Google, se propagó por mensajería instantánea en 2009. Si bien algunos de los aspectos que nombraron podían sonar "futuristas" para 2002, este tipo de código (Duqu, Flame...) funcionaba así en algunos aspectos y sorprendieron a todos, incluso hace pocos años.

Curiosamente, esa figura de los "supergusanos" que dibujan está más cerca del cómo se desarrollarían los ataques exclusivos a objetivos concretos, que del malware común del día a día de los usuarios.

Más información:

Coming Soon: Attack Of The Super Worms



Sergio de los Santos
Twitter: @ssantosv



No hay comentarios:

Publicar un comentario en la entrada