miércoles, 13 de febrero de 2013

El ataque a Bit9, malware firmado con certificados y otras conclusiones

A Bit9 se le han colado en los sistemas de forma que los atacantes han firmado malware con un certificado perteneciente a la compañía de seguridad. Bit9 no es como un antivirus "al uso": su principal característica es basarse, al contrario que el resto de los motores, en listas blancas. ¿Qué demuestra el ataque sobre este acercamiento contra el malware?

Bit9 comercializa un producto basado en "whitelisting". Esto quiere decir que se basa en lo contrario a los antivirus convencionales: básicamente mantiene una enorme base de  programas "confiables" y en las máquinas protegidas con él solo se pueden ejecutar esos programas. Como la propia Bit9 reconoce, se trata de un acercamiento que al menos rompe con la dinámica habitual. En principio y por definición, por muy nuevas que sean las amenazas no afectarán a los clientes que tienen instalada esta solución... Por ejemplo, ante The Flame, los sistemas protegidos por Bit9 habrían sido los únicos capaces de no verse afectados por este fichero firmado por la mismísima Microsoft (y Bit9 se encargó de enorgullecerse públicamente de ello).

Pero no todo son luces en los sistemas de "listas blancas", y este incidente sirve para recordarlos. Mantener una lista blanca, es tremendamente complejo, costoso e "incómodo". Tanto, que los propios de Bit9 reconocen que los atacantes fueron capaces de entrar en sus sistemas precisamente porque no instalaron su propia solución en un puñado de equipos de su red. Suficientes para que un atacante penetrara en ella y consiguiera entrar hasta la cocina: robarle las claves privadas para poder firmar software.

Pero en ciertos entornos merece la pena sufrir esta incomodidad, y las soluciones de lista blanca seguro que son una capa de seguridad importante y robusta. ¿Cuánto? ¿Qué ocurre cuando un atacante tiene como objetivo una empresa protegida por lista blanca de software? ¿Es de verdad impenetrable? No, nunca. Pero el atacante sin duda se enfrenta ante un grave problema. Cuando se sabe que una compañía utiliza el antivirus X, simplemente se preparan las herramientas (el malware) que se va utilizar para evitar que esa compañía lo detecte, se modifica, se reprograma, se oculta hasta que pasa desapercibido para esa marca. ¿Pero y si la compañía solo permite ciertos programas, cómo hago pasar como legítimo mi malware?

En este caso, y es ciertamente curioso, las listas blancas han cumplido su objetivo... a medias. El atacante se ha visto obligado a ir más allá y atacar a la compañía que protege a su verdadero objetivo, para poder penetrar en él. En resumen, muy probablemente el ataque a Bit9 para firmar malware, no es más que un medio para que ese malware pase desapercibido a la hora de atacar algún sistema protegido por Bit9 (el fin último del atacante), y poder así entrar en ellos.

El hecho de que les haya resultado más sencillo atacar a la compañía que protege para, más tarde, atacar al protegido y tener éxito en ambos objetivos, puede hacernos una idea de lo desarrollado del ataque. Hay que tener en cuenta que, como todo, en los ataques también reina la economía del esfuerzo. Por muy motivados que estuvieran para entrar en un tercero protegido por Bit9, la alternativa de intentar romper ese sistema directamente les pareció más costosa que ir primero contra Bit9, firmar su código, y penetrar en ese tercero posteriormente. Las lecturas y conclusiones son varias. Los atacantes no temen entrar en ningún tipo de redes, por muy protegidas que puedan estar. Aunque la inversión sea alta, la recompensa debe cuadrarles con el beneficio. Esto es algo que ya sabemos desde que han aparecido los últimos "supertroyanos".

Sobre el uso de las listas blancas, demuestra la fortaleza de la aproximación, pero también sus debilidades. Una es la que ya conocíamos. El mayor miedo de un antivirus es caer en los falsos positivos, y en el caso de las listas blancas el problema de base sigue siendo el mismo que para todos los sistemas antivirus: dictaminar si un fichero es benigno o no. Imaginemos ficheros programados para ser benignos durante un tiempo, o que en un momento dado descargue módulos indeseables. Esto requeriría una ingeniería inversa potente, manual, compleja y en constante mejora... como los antivirus tradicionales.

Con este incidente se añade una pega en la que quizás no se había pensado demasiado... atacar a la compañía que cataloga un fichero como benigno o no, y marcar el malware como benigno. Aunque en realidad, no es, en esencia, muy diferente a lo que ocurrió con The Flame. Sus creadores atacaron la estructura PKI de Microsoft, para poder entrar en un tercero cómodamente. Consiguieron firmar código y con ello el ataque más elaborado de la historia del malware.

Más información:

Bit9 and Our Customers’ Security



Sergio de los Santos
Twitter: @ssantosv

1 comentario:

  1. Es bien cierto que si no se puede confiar en los certificados, es como cuando te roban el DNI y ponen su foto, ha llegado el momento de que alguien implemente el certificado valido si...

    ResponderEliminar