lunes, 30 de marzo de 2009

Malware, rebelión en la granja

Aunque no es uno de mis temas preferidos, como decían en Expediente X, "el malware está ahí fuera."
Sin embargo voy siguiendo las noticias de estos ultimos meses y esta plaga que parecía que hacía tiempo que no alcanzaba cierta notoriedad, de nuevo ruge como la marabunta. La gente de Hispasec que ven a diario todo tipo de especímenes, lleva unos días publicando noticias que denotan cierta preocupación.

Sabemos desde hace ya mucho tiempo que el antivirus perfecto no existe. En su tesis doctoral para la Universidad de California, Fred Cohen demostraba, en 1983, que no hay ningún algoritmo general que pueda concluir con total fiabilidad -100%- si un programa es o no un virus. Para ello se valía de la siguiente demostración por reducción al absurdo:
Supóngase que existe un algoritmo general A que, analizando cualquier programa P, devuelve "true" si y sólo si P es un virus. Entonces sería posible crear un programa, P, que hiciera lo siguiente: if ( A(P) = false ) then infecta el sistema if ( A(P) = true ) then no infectes nada Es decir: P es un virus si A dice que no lo es, y no lo es si A dice que lo es. Por contradicción, ese algoritmo general A no existe.


El especimen que parece ahora traer de cabeza a todo el mundo es el Downadup o Conficker. Las noticias destacan su alta capacidad de infección así como las diferentes alternativas que utiliza para lograrlo.
La propia Symantec ha publicado un minucioso estudio de este especímen que podéis consultar aquí. Otro resumen interesante ha sido proporcionado por el Blog de Seguridad de VerizonBusiness.

Como ya ha hecho otras veces, Microsoft ofrece un cuarto de millón de dólares por la 'cabeza' del creador del virus, mientras que éste, en sus anteriores versiones, ha acaparado titulares por haber afectado incluso a los ejércitos francés y alemán. Sus sucesivas versiones han hecho que este virus se convierta en una auténtica plaga como no se recordaban de la epoca del Code Red, Nimda, MyDoom o Storm.

Pero lo realmente preocupante son las reflexiones de Hispasec respecto a la necesidad del cambio de estrategia de los programas antivirus.

Por un lado porque se empiezan a disparar los falsos positivos y ya sabemos que una alarma que salta cada cinco minutos acaba siendo ignorada y más cuando se comprueba que además detecta algo que no es potencialmente peligroso. Por otro, porque el malware cada vez se dirige hacia elementos menos vigilados como ponen de manifiesto en su Una-al-día sobre Routers, modems y botnets.

Asusta ver todo lo que se cuece ultimamente en la trastienda del malware. Tenemos de todo pero empiezan a atisbarse los peores pronósticos. Hoy también salen a la luz noticias sobre un malware dirigido que se especializa en el espionaje llamado Ghostnet y que apunta hacia China aunque no se sabe a ciencia cierta si realmente es éste país el que está detras o es desde ahí desde donde se lanza aunque se controle desde otro.
También la industria del malware parece que pretende seguir como estrategia de ataque el desbordar con infinitas variantes los especímenes creados para saturar así el poder de detección y generar ineficacia en los productos antivirus. Tanto es así que se plantea como alternativa la detección del Goodware en vez del Malware. Tal como explica Hispasec, "Si en febrero de 2004 podíamos leer en el recién estrenado blog de F-Secure: "Dos nuevas variantes de Bagle han sido avistadas. Otra vez. Parece que tendremos un fin de semana ocupado", ¿qué tendrían que decir hoy en cualquier laboratorio antivirus donde se reciben a diario miles de nuevas variantes de malware?."

Además, la tendencia se extiende hacia infectar los equipos de red, menos interactivos con el usuario y por tanto, menos vigilados y notorios respecto a su detección, sobre todo para usuarios no muy avezados.
 
;