septiembre 24, 2013
KIS 2014: ¡Matador! – PARTE 2: ALPHA, BETA, ZETA.
¡Estamos de vuelta!
¿Qué otras cosas nuevas e interesantes podemos descubrir en KIS 2014 que protegerán tus datos contra los cibercerdos? Nuestra invitada estrella de hoy es la tecnología ZETA Shield.
Creo que la mejor forma de describir ZETA Shield es como un microscopio antivirus de alta tecnología para la detección y eliminación del malware más artero que pueda existir, ese que se esconde en los profundos recovecos de los archivos complejos. En resumen, se trata de nuestra incomparable tecnología de defensa contra futuras amenazas, capaz de rastrear hasta la última huella de las ciberinfecciones desconocidas en los lugares más inesperados.
Para comprender mejor este concepto, imaginemos un juego de las tradicionales muñecas rusas.
Al abrir una, nos encontramos con otra en su interior, y alojada en ella, otra, y otra. Esta es una analogía muy útil para entender cómo se ocultan los programas nocivos
que despliegan sus mejores recursos para incrustarse en las entrañas de su presa, e incluso recurren a una ‘cirugía plástica’ digital para retocar su apariencia y pasar desapercibidos para las soluciones antivirus. Penetran archivos comprimidos, cripto-contenedores, archivos multimedia, documentos de Office, scripts, etc. Las posibilidades son ilimitadas. La tarea de un programa antivirus es escarbar en las profundidades de estos diversos objetos, investigar sus entrañas y extraer el malware.
¿Eso es todo? Bueno… no, no es tan simple como suena.
Los programas antivirus son expertos desmantelando archivos complicados. Por ejemplo, desde principios de los 90 otras compañías utilizan, bajo licencia, nuestro motor antivirus por su habilidad de desmontar archivos comprimidos y empaquetados. Pero esto es apenas la mitad del trabajo. Necesitamos un instrumento lo suficientemente inteligente que no solo desmantele archivos complicados, sino también que analice estas ‘muñecas rusas’, comprenda qué cosas suceden ahí, una los puntos entre distintas acciones, y finalmente haga un diagnóstico. Es muy importante que todo se haga de forma proactiva, sin las clásicas firmas y actualizaciones. Este trabajo detectivesco es necesario para localizar potenciales armas binarias. Este tipo de armas están construidas con componentes individuales que por sí mismos resultan inofensivos, pero que cuando se combinan crean un arma letal.
Y es aquí donde ZETA Shield interviene.
Y lo hace muy a tiempo, ya que la cantidad y nivel dañino de los ataques dirigidos y los ataques día-cero no dejan de aumentar. Es precisamente para luchar contra estos peligros que ZETA está diseñado (ZETA = Zero-day Exploits & Targeted Attacks).
ZETA Shield acompaña a otra novedad en KIS 2014, transferida desde nuestros productos empresariales para ambientes hostiles: Aplicaciones de confianza. ZETA, que también comenzó como parte de nuestras soluciones para empresas, en las que probó con creces su valía, ha sido adaptado para que los productos personales puedan utilizarlo.
Y hasta donde yo sé, es la primera vez que a nivel mundial se usa este tipo de tecnología en productos personales.
El funcionamiento de ZETA puede dividirse en dos partes.
La primera se refiere a la mecánica: se desmantela el objetivo. Por ejemplo, un documento de Word podría contener elementos incrustados, como otros archivos, datos flash, otros documentos, o incluso una distribución de sistema operativo o una colección de virus… ¡cualquier cosa es posible! Nuestra tarea es identificar la naturaleza de todos estos elementos (¡y vaya que les gusta camuflarse!) y clasificarlos.
Después comienza a ponerse más interesante… Entra en juego el analizador heurístico que sopesa los contenidos, las capas de anidación, las relaciones entre todos estos elementos, evalúa su similitud con patrones de amenazas detectadas previamente, detecta anomalías, y toma decisiones sobre el grado de peligrosidad de un determinado archivo (se trate o no de un arma binaria).
La decisión es conjunta, pues participa de ella nuestra red de seguridad en la nube KSN, que alimenta a los programas antivirus con estadísticas de síntomas sospechosos similares detectados en otros equipos. A través de KSN podemos ver la escala y la distribución geográfica de las amenazas, identificar las anomalías típicas de un ataque dirigido, y obtener una gran cantidad de otros datos valiosos que nos ayudarán a proteger a nuestros usuarios en el futuro.
¡Otra analogía!: lo que ZETA Shield hace al principio guarda similitud con identificar un automóvil por sus componentes. ¿Carrocería plástica? ¿Bajo costo? ¿Motor de motocicleta? ¿Alemán? Tiene que ser un Trabant. ¡Así de sencillo!
Pero lo que hace a continuación, después de desglosar sus componentes para después analizarlos de forma individual para ver de qué se trata cada uno de ellos, requiere mucha inteligencia.
Tomemos el caso de un ataque dirigido lanzado en marzo: a las víctimas seleccionadas se les enviaron documentos RTF con atractivos títulos, como ‘Resultados financieros para los primeros nueve meses de 2012’, supuestamente en nombre de Rubin Submarine Manufacturing Company (ah sí, este tipo de ingeniería social aún funciona). Un análisis profundo del documento revela que un exploit y un malware dropper estaban escondidos, pero, y aquí está la trampa, la solución antivirus que se utilizó no lo reconocía, pues ¡los ciberpiratas los habían ocultado muy bien entre todo tipo de basura! En cambio, ¡ZETA Shield logró localizar de inmediato el RTF!
Una característica de esta tecnología en el ambiente empresarial es su habilidad para ‘desmantelar’ no sólo los archivos individuales, sino también los flujos de datos. Al final del día, cada archivo es parte de un contexto mayor, y sólo es posible ver las relaciones complicadas y tomar decisiones más informadas (mejores) si se observa este contexto en toda su amplitud.
Lamentablemente, ZETA Shield tuvo que despojarse de algunas de sus capacidades a favor de la productividad en KIS 2014. La versión doméstica funciona sólo para archivos y sólo en el modo a petición. Sin embargo, con una higiene adecuada del sistema (como los chequeos regulares del ordenador con escaneos al máximo de su poder) para los usuarios domésticos esto sigue siendo un serio punto a favor en su defensa contra ataques dirigidos. (Por ejemplo, los gerentes de alto nivel pueden ser blanco de ataques mientras están en la oficina, o en casa utilizando sus ordenadores personales). Por desgracia, si se encuentran en casa, no cuentan con la protección del servidor corporativo. Y es aquí que ZETA Shield entra en juego, al trabajar de forma combinada con el modo Aplicaciones de confianza y la Prevención automática de exploits para neutralizar de forma precisa los ataques a través de varias vulnerabilidades).
Las preguntas lógicas que surgirían en este punto serían: (1) ¿para qué incorporar esta sagaz tecnología para servidores en un producto personal?, y (2) ¿quién lanza un ataque dirigido contra un ordenador personal, o bien contra una pequeña empresa?
En primer lugar, algo importante:
Existe la percepción general de que los ataques dirigidos sólo se lanzan contra gobiernos, organizaciones de defensa, instalaciones de infraestructura crítica, políticos, o corporaciones de la talla de Microsoft. Asimismo, se cree que la impresionante complejidad de estos ataques sólo se ve en… películas.
No. Y no.
Es posible que esta idea equivocada se deba a que un gran número de medios de comunicación amplifica las historias sobre ataques al máximo nivel. Y la razón puede provenir de una abundancia de términos técnicos incomprensibles o, por el contrario, de una falta de información, que dan lugar a una línea de pensamiento más o menos así: ‘vaya, atacaron un ministerio, y los ministerios cuentan con los mejores profesionales en seguridad y con buenas defensas, lo que significa que los que lanzan los ataques dirigidos deben ser unos verdaderos genios’.
Pero en realidad, cualquier usuario u organización puede ser blanco de un ataque dirigido, como lo demostraron las travesuras del grupo de hackers conocido como Winnti, o por el hecho de que spyware comercial como FinSpy sí existe. Y no olvidemos que las amenazas cibernéticas pueden ser tan poco controlables como la gripe: un ataque dirigido puede salirse de control y afectar a inocentes transeúntes (a veces del mismo lado de uno).
Y en cuanto a la aparente complicación de un ataque dirigido, bueno, la palabra ‘aparente’ da en el clavo. Sí, existen complejas cibercampañas (como Stuxnet y Flame). Pero la gran mayoría consiste de combinaciones de métodos conocidos con una pizca de ingeniería social. Y, de hecho, se están haciendo cada vez más fáciles y baratas. Uno puede comprar paquetes de exploits por unos mil dólares y combinarlos como un paquete modelo.
Por último, esta es la razón principal para incluir la ‘sagaz tecnología para servidores’ y la protección multiniveles en nuestros productos personales.
Cualquier invención, incluyendo una nociva, tiene un ciclo de vida. Tarde o temprano un amplio espectro de ciberpiratas encontrará la manera de lanzar hasta los ataques más complejos, que antes eran privilegio sólo de los expertos (en efecto, es la comercialización de los ataques dirigidos). Pero estamos listos para esto: ¡KIS ya es capaz de resistir serios asaltos del malware del mañana!
En resumen: Estamos listos para lo que el futuro nos depare. Y ahora, tú también lo estás.