miércoles, octubre 11, 2023

Entrevista a Sergio de los Santos el hacker del "Malware Moderno" que explica el porqué de la evolución de la industria de seguridad informática

Hace muchos años que llevo discutiendo, trabajando, colaborando, argumentando, peleando, co-creando, con Sergio de los Santos. Con tantos años de profesión a la espalda juntos, hemos labrado una relación de confianza, respeto y amistad muy particular. A veces lo quiero matar, otras muchas me deja boquiabierto todo lo que hace. Eso sí, la parte de querer matarle aún es muy alta. Pero con cariño.

Figura 1: Entrevista a Sergio de los Santos el hacker del
"Malware Moderno" que explica el porqué de la evolución
de la industria de seguridad informática.
.
Sergio de los Santos tiene ese ADN de innovar que tanto me gusta en los equipos de Ideas Locas - no es casualidad que le pusiera al mando del departamento de innovación de ElevenPaths en su momento. Pero además disfruta de un área de la investigación en concreto que a mí, lo confieso, no ha sido la que más me. ha interesado en mi vida: El malware.
Supongo que llevar más de 20 años analizando malware, haciendo infinidad de cierres de sitios de phishing, persiguiendo a los grupos criminales por medio de sus API Keys, sus patrones de comportamiento, su forma de crear los esquemas de malware, etcétera. De sus investigaciones salió Tacyt para analizar malware, y algunos papers como el de Shuabang, con esquemas curiosos creados por el cibercrimen.

Así que se animó a escribir el libro de "Malware moderno: Técnicas avanzadas y su influencia en la industria" , que ha sido uno de los libros más comprados desde que se puso a la venta. Y sobre este libro, he querido hacerle una pequeña entrevista, que merece la pena que leáis. Más que recomendada.

1. - Cuéntanos Sergio, ¿qué se puede esperar de este libro y qué tiene de particular.?

Desde hace muchos años quería escribir un libro sobre malware. El problema era que los libros sobre reversing y análisis son muchos, variados y, en algunos aspectos, insuperables. Los libros sobre la historia de malware son más escasos, pero creo que "Una al día: 16 años de seguridad informática" (y sus diferentes ediciones de 2008 a 2014), ya abordaba ese enfoque. ¿Qué podía aportar entonces? Llevaba dándole vueltas mucho tiempo. 
 
El tiempo pasaba y las mejoras en la industria se sucedían. Creo que desde 2013 el avance ha sido espectacular en muchos aspectos, sobre todo para los que sufrimos la seguridad informática entre finales de los noventa y primeros 2000. El caos estaba dejando paso al orden, aunque no lo parezca. ¿Por qué? ¿Qué había impulsado esa mejora? ¿Cómo de repente se vivía una colaboración en la industria tanto técnica como legislativamente? ¿Qué estaba ocurriendo para que “de repente” los buenos se pusieran las pilas?
Fue entonces cuando se me ocurrió que buena parte de ese impulso venían de que los malos habían disfrutado de una posición ganadora desde hacía demasiado tiempo. De que a medida que la sociedad se incorporaba a Internet, estábamos a punto de perder la batalla digital. Que el malware era el culpable y, en cierta forma, también el responsable de le mejora. 
 
Decidí no enfocar el libro como la historia del malware solamente, sino entendiendo cómo había impactado en la industria y por tanto, ayudado a mejorarla. Entonces descubrí por qué el sistema operativo es cómo es, por qué Windows hace lo que hace y lo hace de esa forma. Por qué las redes funcionan así, por qué existen estas medidas de seguridad para el usuario y por qué algunas son más populares que otras. Por qué los antivirus actuales no son lo mismo que hace 20 años… Un mundo que me resultó apasionante para comprender tanto la historia como la técnica, pero sin céntrame en estos dos aspectos solamente.

2.- La historia siempre te da perspectiva ¿Qué has descubierto indagando en la historia del malware?

Que cometemos la mayoría de las veces los mismos errores. Que “todo está inventado” pero se repite con ligeras diferencias. Que el que no conoce el pasado está condenado a repetirlo. Que vivimos en una industria algo cortoplacista. Que tenemos muchos prejuicios en torno a la tecnología porque aunque tenemos mala memoria en general para la historia, los eslóganes y el marketing se nos graban a fuego en la memoria. 

 
Figura 5: Marrón Cobalto, una novela de ficción  
 
Una vez asimilados, asociamos esos mantras para siempre a ciertos tecnologías, aunque cambien de manos, sean diferentes o hayan sido mejorados considerablemente. La historia del malware es la historia de los sistemas operativos. De internet y de la digitalización en general.

3.-¿Alguna anécdota interesante que te sorprendiese escribiendo el libro?

Una que creo que reúne todas las condiciones para desvelar falta de rigor en todos los campos es la de Bi.A. En 2006, Linus Torvalds, según los medios, “ordenó parchear el kernel para poder infectarse por un virus multiplataforma que ya atacaba a Windows”. ¿Un poco loco, no? Bi.A (abril de 2006) era una “prueba inofensiva” que se supone infectaba a binarios de Windows y Linux. El primero en analizar la muestra (y "rebajar el riesgo") fue NewsForge. Advirtieron que no se podía replicar (sin mucha más explicación). Esto ayudó a difundir la idea en los medios de que no era un virus real. Y no era mentira, no se replicaba… solo que hicieron las pruebas incompletas.

Probaron el virus solamente en Windows y luego en un Ubuntu con un kernel muy concreto. Efectivamente no se podía replicar ahí, no mintieron. Salvo por el hecho de que sí que se replicaba y funcionaba como un virus tradicional en todos los núcleos justo anteriores a esa versión. El caso es que el virus se creó en ensamblador, no en C (lo habitual). El autor asumió que al llamar a “sys_ftruncate”, el valor del registro EBX que se pasa como parámetro se mantendría. Por tanto, al llamar más tarde a “old_nmap” podría reutilizar EBX con ese mismo valor. Pero no. La llamada a “sys_ftruncate” destruía el valor de EBX en ese kernel concreto y el autor no se dio cuenta porque no usó ese kernel. Así que la replicación funcionaba bien en todos menos ese. Pero lo normal es que se respete el valor de EBX. No fue un descuido del autor. ¿A quién culpar? Pues al propio kernel. Tuvo que pasar algún tiempo hasta que alguien diera una explicación. Se concluía que el kernel bajo el que NewsForge hizo las pruebas no se comportaba como el resto. Destruir el valor de EBX tras una llamada a función no era un comportamiento deseado.

Linus Torvalds aceptó el fallo (sí, llamó “fallo” a lo que impedía la difusión del virus) y quiso corregirlo. Sys_ftruncate o cualquier otra función debía preservar el contenido del registro EBX. La única versión del kernel que no lo hacía era con la que habían probado el virus porque ese kernel fue la primera versión compilada con gcc y el parámetro mregparm=3 y esto causaba el fallo. Si el virus hubiera sido escrito en C directamente o sin ese parámetro, el compilador hubiera hecho bien su trabajo y la autorreplicación hubiese funcionado.


¿Qué hicieron los medios de comunicación que no entendieron nada de esto? Titular con tonterías. Lo más acertado hubiera sido algo como: “La creación de un virus directamente en ensamblador permite detectar un fallo en la compilación del kernel Linux”. Pero en cambio hablaron de que el kernel se había modificado para facilitar la propagación de virus.

Esto da que pensar sobre la complejidad de trasladar a la realidad algo puramente técnico sin que se distorsione el mensaje, y por tanto, cuánto no entendemos de la ciberseguridad, tanto a nivel técnico como social. ¿Crees que el malware impacta ya no solo en los sistemas, sino en la sociedad?

Sin duda. La línea de división entre nuestra vida “física” y “digital” no existe. Lo que nos pasa en cualquier dispositivo impacta de manera directa en nuestra rutina. Un incidente con malware puede ser equivalente o peor que un incendio o un robo en nuestra casa. Y esto no es nada. Los ataques a suministros fundamentales no son ya una simple amenaza sino una realidad posible y probable. El malware no es más que la manifestación técnica de un arma y se usará para atacar. Y ahí fuera hay tanto ladrones dispuestos a robarte la cartera como locos o naciones que no dudarán en envenenar el sistema de agua potable de un país. Con la “softwarización” del mundo, han cambiado las herramientas, no las amenazas ni la naturaleza humana.

4.- ¿Crees que el malware al final ha “beneficiado” a Windows?

Windows 10 tiene más características de seguridad para combatir el malware que cualquier sistema operativo. No, no he dicho que sea el más seguro. Pero sí dispone de herramientas para defenderse bien. Windows 10 no es XP. La lectura a fondo de cualquier “write up” que permita aprovechar una vulnerabilidad en Windows te da una idea de la enorme cantidad de problemas que debe sortear el investigador. Y con cada una de ellas, el sistema mejora.


El malware ha evolucionado para atacar con éxito este sistema operativo de una forma implacable y furibunda. Y como se suelde decir “la calidad de tu enemigo te define”. La complejidad que está alcanzando el sistema tanto por sí mismo como por las herramientas de terceros que le permiten monitorizar y detectar ataques, está consiguiendo que los atacantes profesionales (sobre todo las bandas de ransomware) estudien entrar ya por servidores Linux y estén portando sus herramientas. No es que sean más o menos seguros, es que todos los ojos están en Windows, mientras que se nos ha olvidado que existen otros sistemas operativos tan susceptibles de ser un objetivo como cualquier otro y no ha incorporado por igual herramientas para su defensa ante el malware y la monitorización.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares