Hemos hablado de refilón de este tema en alguna que otra ocasión, pero creo que merece la pena volver a sacarlo a la luz, a la vista de los últimos movimientos del sector.
Estado actual de la industria del malware
Básicamente, la industria del malware opera como una industria más, generando continuamente productos con un ROI muy alto y una estrategia de difusión y comunicación verdaderamente sorprendente.
Cada día se generan variantes del malware ya existente (según Microsoft, entre el 3,4% y el 7,7% de las amenazas encontradas tienen menos de dos días), reduciendo tanto el ciclo de desarrollo de éstos que de facto, se vuelven uno de los principales riesgos hacia el usuario, que no está adecuadamente cubierto con las herramientas actuales.
Ya no hay virus como tal, sino malware, y en especial, adware y ransomware, que infectan tanto ordenadores de escritorio como móviles, y que tienen el ojo puesto en la futura explosión de ese IoT aún falto de las medidas de seguridad oportunas.
Lo comentaba a finales de la semana pasada en la crónica del RSA Summit. A la empresa le interesaba hasta cierto punto dejar claro que las defensas perimetrales ya no son suficientes, por la sencilla razón de que ellos venden herramientas pos-SIEM, que operan acoplándose por encima de estas otras.
Pero razón no les falta, y para muestra la decisión de varios grandes de la industria al crear Clean Software Alliance (EN), una asociación entre fabricantes, desarrolladores de antivirus y plataformas de descargas, con el fin de categorizar el software disponible en la red como seguro o potencialmente peligroso.
Tan fácil y tan complejo como parece, oiga.
La nada desdeñable empresa que tiene entre manos Clean Software Alliance
A grandes rasgos, la idea es emular los controles que podemos encontrar en markets como Google Play o App Store, pero de manera distribuida, siendo el propio antivirus el encargado de alertar al usuario de los riesgos de una instalación específica.
Y esto pasa por generar una lista blanca de todo el software disponible en la red. De absolutamente todo el software. Algo que en su día comenté que es una labor tan titánica que bajo mi humilde opinión se presenta imposible, habida cuenta de que:
- Cada día se genera software nuevo: A toneladas, tanto legítimo como potencialmente peligroso.
- La lista la hay que mantener: Un software que haya pasado por los aros de CSA en un momento dado, puede al siguiente transformarse en un malware, o implementar aunque sea parte de esas features que podemos considerar nocivas para el usuario. Eso quiere decir que conforme más grande se vuelve la lista, más costosa es de mantener saneada.
- Los ciclos de desarrollo no ayudan: Con el mundo app, pasamos de ciclos de actualizaciones anuales (a lo sumo) a mensuales, y en algunos casos hasta menos. Ahora la estrategia de prácticamente cualquier software es lanzar pequeñas actualizaciones periódicas, con la idea de que el usuario perciba con mayor intensidad que se está trabajando en el producto (no los abandone (ES)). Ergo un mantenimiento que se verá incrementado cada vez con mayor intensidad.
Tiene además un punto que sigue chirriándome, y es qué pasará con todas esas plataformas que no entren dentro de la alianza.
¿Significa esto que si Softonic (por poner un ejemplo, que conste, aunque estos últimos años se hayan vuelto más una plataforma de adware que otra cosa) no está dentro de la alianza, los antivirus tacharán cualquier descarga de esta fuente como potencialmente peligrosa? ¿Recomendarán la descarga de ese software desde una plataforma acogida a la alianza?
Fíjese que prácticamente cualquier respuesta a estas dos preguntas tiene un corolario negativo. Por un lado, o bien penalizas a los que están fuera por defecto, o los dejas pasar.
Si es lo primero, estás favoreciendo una suerte de oligarquía de la descarga. Un escenario donde unos cuantos grandes gestionan las descargas de software, con la paulatina muerte de los peces pequeños (o no incluidos en la alianza por la o las razones que sean).
Si es lo segundo, el sistema de lista blanca falla, puesto que en muchos casos les será imposible compulsar la huella con el original (es habitual esas dichosas herramientas que supuestamente “facilitan” la instalación de software), y queda descartado el análisis y categorización en tiempo real. Es más, este es el principal problema de los sistemas SIEM frente a los basados en inteligencia, ya que estos precisan de un conocimiento previo que resulta ineficaz en escenarios como el comentado.
Iría incluso más lejos, al hecho de cómo gestionar esa supuesta lista blanca con ese cada vez mayor porcentaje de nuevos vectores de ataque. ¿Cómo una alianza de grandes empresas de antivirus, de grandes fabricantes, sería capaz de señalar a un software como potencialmente peligroso la primera vez que se encuentra un usuario (o los propios sistemas de esta alianza) con él?
Que sí, que si acaban obteniendo los acuerdos suficientes para que CSA esté presente en prácticamente toda la industria del software, quizás incluso la locura de esa lista blanca pudiera salir adelante.
Pero si en entornos muchísimo más reducidos (de nuevo, Google Play o App Store), gestionados por un solo agente que es para colmo quien controla no solo la plataforma, sino el sistema operativo y la seguridad de toda la cadena, que además se puede permitir el lujo de discriminar aplicaciones subidas porque sí, aún se cuela malware…
La parentalización de la descarga es el sueño dorado de muchos. A fin de cuentas, la información que se puede sacar de ahí tiene un precio incalculable. Pero sigo creyendo que hay en juego tantos intereses, y que para ser de verdad útil tendría que cubrir tal escenario, que en la práctica es inviable.
¿Dónde hay futuro? Precisamente en la implantación de medidas SIEM/Pos-SIEM democráticas cuanto a más bajo nivel mejor.
Y ahí la postura de Windows me parece la mar de acertada, ofreciendo un antivirus cada vez más potente (Windows Defender) que cede la gestión de la seguridad de forma modular en el momento en que el usuario decide instalar encima otro antivirus.
Ahora falta que le incluyan inteligencia en tiempo real, y que esa base de información sea compartida con alianzas como CSA, con la idea de generar un escenario donde la industria del crimen lo tenga cada vez más complicado.
No tanto infantilizar la descarga, sino evitar que esta suponga un riesgo para el que es y seguirá siendo el elemento de la cadena más vulnerable.
Sobre todo, lo que más me preocupa de este tipo de iniciativas es que, al final siempre e irremediablemente acaban siendo controladas (de uno u otro modo) por unos pocos intereses poderosos en perjucio de otros.
Es otro de los posibles resultados Agustín, en efecto. Y es una pena, porque en sí el proyecto, si de verdad puede acabar llevándose a cabo, sería un duro golpe a la industria del cibercrimen.