• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / TheFlame, el francotirador

TheFlame, el francotirador

15 junio, 2012 Por Hispasec 9 comentarios

En los últimos días, y a modo de reflexión sobre lo ocurrido con el troyano TheFlame, algunas voces se han sumado a la crítica hacia la industria antivirus, como responsable de que el troyano pasara desapercibido durante años. Pero no lo son (en todo caso, no son los únicos). ¿Qué lecciones se pueden aprender de la detección y análisis de este malware?
Mikko Hypponen entonó un razonado «mea culpa» en Wired:
«When we went digging through our archive for related samples of malware, we were surprised to find that we already had samples of Flame, dating back to 2010 and 2011 […] What this means is that all of us had missed detecting this malware for two years, or more. That´s a spectacular failure for our company, and for the antivirus industry in general.«
Y es razonable, por la manera en la que trabajan las casas antivirus (que no los antivirus en sí). Reciben alrededor de 100.000 muestras al día. No todas son malware y, lógicamente, no todas son analizadas a mano. Es imposible. Simplificando el proceso, las muestran pasan por sistemas automáticos que intentan clasificarlas. Si alguna resulta claramente malware, pasa sin más a ser detectada por firma (genérica). Si solo resulta sospechosa, quizás llegue a un segundo filtro manual. Si aquí se confirma como malware (un proceso que puede llevarle muchas horas a un analista) se incluye en las firmas, y se repasan de nuevo las muestras que han llegado para analizarlas con esa nueva firma y detectar más. Este un proceso costoso, sin fin, y muy complejo… cuyos volúmenes están incrementando.
Kaspersky hablaba en Twitter de que, en el último año, el número de muestras «detectadas» diariamente había pasado de unas 75.000 a 125.000. No sabemos si ese «detectadas» está bien empleado. De hecho, Jorge Mieres, de la misma compañía, decía un poco más tarde en Twitter «En los últimos meses ha aumentado un 80% el número de muestras únicas procesadas por día. 125.000.«
En este proceso de automatización, los antivirus prefieren pecar por defecto y no caer en detección de falsos positivos. Una muestra firmada por Microsoft, como TheFlame, no tenía la más mínima posibilidad de pasar como sospechosa por ningún filtro.
Otra frase de Hypponen llama la atención:
«Yet we failed to do that with Stuxnet and DuQu and Flame. This makes our customers nervous.«

                          

Los antivirus están sometidos a un gran peso comercial, de imagen, de ventas y beneficios. Deben contentar a sus clientes. Y la alerta mediática generada les pone nerviosos. Sin embargo, no se debe perder el foco. Aunque se deban invertir recursos en detectar muestras extremadamente sofisticadas, es mucho más importante controlar de forma eficaz la inmensa oleada de malware «común» como las nuevas versiones de Zeus o SpyEye. Quizás no usen certificados de Microsoft para ocultarse, pero podemos asegurar que sus índices de infección (y robo real de cuentas bancarias) son infinitamente más altos. ¿Cómo repartes tus recursos entonces? ¿Es mejor invertir en medicinas para curarte de una enfermedad mortal detectada en algunos puntos de Irán que afecta principalmente a una raza característica? ¿O dedicarlos a la lucha contra las enfermedades comunes? Los clientes de antivirus lo querrán todo… pero eso sería una evaluación de riesgos muy pobre. Por otro lado, culpar únicamente a las casas antivirus sería injusto.
Un antivirus no está diseñado para detectar malware de este calibre, simple y llanamente. Si hacemos una analogía de guerra, un antivirus sería como un chaleco antibalas. Puede llegar a proteger del fuego cruzado, de las balas perdidas… Es posible que no se muestre eficaz con cierto tipo de munición destinada específicamente a traspasarlo, pero puedes reforzarlo periódicamente y proteger tu cuerpo. Por supuesto, esto no exime al que lo acarrea de ocultarse en lo posible de la primera línea de fuego y otros métodos para salvarse. Pero ¿quién te protege de un francotirador que, apostado estratégicamente en un edificio, apunta a tu cabeza desde hace días? TheFlame es un francotirador, con mucha puntería y la mejor arma. Un chaleco antibalas no protege contra francotiradores.
¿Se tambalea entonces la confianza en los antivirus? No. No hay que quitarse el chaleco antibalas. Lo que hay que hacer es mejorarlo y complementarlo. Si se cuestiona algo, que sean los cimientos de los procesos automatizados y de las políticas de seguridad aplicadas. Una bofetada que debería hacernos despertar y replantear incluso aquello que parece que «funciona bien«. Porque pueden existir otros métodos.
Más información:
Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet
http://www.wired.com/threatlevel/2012/06/internet-security-fail/
Kaspersky
http://twitter.com/e_kaspersky/status/210735208369094657
Jorge Mieres
http://twitter.com/jorgemieres/status/212161627716452352
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    15 junio, 2012 a las 5:30 pm

    lo voy a resumir en 2 frases: a) los antivirus són un timpo y M$ pasa las vulnerabilidades a los fabricantes/mercenarios para que puedan desarrollar tanto el virus como su «cura».

    Este «modelo de negocio» fraudulento que hasta ahora les habia supuesto un chollo a ambos bandos ahora curiosamente se ha vuelto en su cotra que cosas eh? 😉

    Responder
  2. Anónimo dice

    15 junio, 2012 a las 9:45 pm

    El problema para un antivirus es que el sistema windows de microsft es una porqueria,pero el mas usado por los usuarios en el mundo,si fuera mejor no tendriamos tantos problemas con los virus.

    Responder
  3. Anónimo dice

    15 junio, 2012 a las 10:09 pm

    Los 2 comentarios anteriores son echos por personas que no saben ni donde estan parados. Cuando no sabemos de un tema en particular , es mejor no hacer comentarios sin fundamentos.
    Muy buen articulo, como siempre.

    Responder
  4. @jfonzy dice

    15 junio, 2012 a las 10:52 pm

    Personalmente no creo que los AV's deben afrontar solos las críticas por estos incidentes. Los fabricantes de IDS – NIDS no dicen nada al respecto, cuando se entiende que estos productos también estan relacionados a este tema de una u otra manera.

    Responder
  5. Rizando El Rizo dice

    16 junio, 2012 a las 9:14 am

    Buen artículo pero os recuerdo que como detalle de cortesía periodística se deben traducir las citas hechas en otro idioma.

    Responder
  6. Anónimo dice

    17 junio, 2012 a las 5:42 am

    OpenPGP da error (firma no verificada) en esta noticia enviada por correo electrónico.

    Responder
  7. Anónimo dice

    17 junio, 2012 a las 5:47 am

    Perdón, esta no es la noticia que da error PGP, es la siguiente «google bouncer».

    Responder
  8. Anónimo dice

    17 junio, 2012 a las 5:54 pm

    Eso es una tontería. Que Microsoft pase las vulnerabilidades a los fabricantes/mercenarios para que desarrollen virus es como dispararse en el pie. Tener virus da mala imagen a tu sistema operativo y si Microsoft quisiera que las demás casas de antivirus ganasen dinero vendiendo antivirus no desarrollaría su propio antivirus gratuito.

    Ya hay suficientes intereses detrás de los virus (robar cuentas bancarias, spam, las propias casas antivirus) como para que se necesite la colaboración de Microsoft.

    Responder
  9. Oscar dice

    19 junio, 2012 a las 4:09 pm

    Aún a riesgo de ser tachado de radical, mi opinión (muy personal, evidentemente) es que, además de herramientas para mitigar los efectos de todo el malware que nos rodea, donde hace falta hacer un verdadero esfuerzo es en educar a los usuarios.

    Haciendo uso de las analogías (y de nuevo, perdón si parezco muy radical) como la del artículo referida al chaleco antibalas, yo compararía las infecciones de sistemas con los embarazos no deseados. ¿Existe información sobre cómo evitarlos? Sí. ¿Está a disposición de todo el mundo? Sí. ¿Se siguen produciendo? También.

    En el caso del malware la mayoría de usuarios de ordenadores no tiene reparo en abrir mensajes, enlaces y documentos de dudosa procedencia aunque lleguen en inglés y ellos jamás hayan salido de su barrio. «Tengo un antivirus, ya hará su trabajo» deben pensar…

    Un saludo a tod@s.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR