agosto 14, 2015
ABRACADABRA: LA MAGIA DE LA INFORMACIÓN ANÓNIMA
¿Quién mató a JKF?
¿Quién controla el triángulo de las Bermudas?
¿Cuál es el objetivo de los Masones?
¡Fácil! Resulta que las respuestas a estas preguntas no podrían ser más sencillas. Todo lo que tienes que hacer es añadir la frase: “Según fuentes anónimas”, y… ¡voilá! Ahí tienes la respuesta a cualquier pregunta, sobre cualquier persona o cualquier cosa. Y las respuestas son creíbles, no por su… credibilidad, sino por el prestigio atribuido al medio de comunicación concreto que publica la noticia.
note to self: when I publish my next APT report, I'll make sure to quote at least two anonymous sources, for added credibility.
— Stefan Tanase (@stefant) August 14, 2015
Recientemente, la agencia de noticias Reuters obtuvo una “exclusiva mundial” de gran repercusión en el mundo de los antivirus. El artículo sensacionalista, que está plagado de falsas acusaciones, afirma que Kaspersky Lab (KL), crea malware muy específico dirigido, y lo distribuye de forma anónima entre otros competidores anti-malware, con el único propósito de causarles serios problemas y dañar al mercado. ¡Oh, claro! Pero se les olvidó comentar que ideamos este perverso plan entre los vapores de un banya ruso, justo después de dejar aparcados los osos que montamos en la puerta.
I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y
— Eugene Kaspersky (@e_kaspersky) August 14, 2015
La exclusiva de Reuters se basa en información proporcionada por antiguos empleados de KL y sus acusaciones no tienen ningún fundamento.
Algunos ex-empleados descontentos suelen decir cosas desagradables sobre sus antiguos jefes, pero en este caso, las mentiras son simplemente absurdas. Es posible que estas fuentes hayan impresionado a los medios, pero en mi opinión, publicar una “exclusiva” de este tipo SIN
TENER PRUEBA ALGUNA, no es lo que yo entiendo por buen periodismo. Siento curiosidad sobre lo que estos “ex-empleados” dirán sobre nosotros a los medios de comunicación la próxima vez, y quién será el siguiente en creer sus mentiras.
La versión de Reuters es una combinación de una serie de datos con una generosa cantidad de ficción pura y dura.
To be honest: its quite annoying all these insinuating stories about Kaspersky. Haven't seen any solid evidence nor trustworthy sources.
— Rickey Gevers (@UID_) August 14, 2015
En 2012-2013, la industria anti-malware tuvo serios problemas debido a falsos positivos. Y; por desgracia, fuimos una de las empresas que se vieron gravemente afectadas. Se trató de un ataque coordinado hacia la industria anti-malware. Alguien estaba difundiendo software legítimo que contenía códigos maliciosos dirigidos específicamente a las empresas de antivirus, entre las que se encontraba KL. Sigue siendo un misterio quién fue el responsable de este ataque, ¡pero ahora resulta que soy yo el principal sospechoso! ¡Esto sí que no me lo esperaba! ¡Estoy totalmente sorprendido por esta acusación sin fundamento!
Esto es lo que ocurrió: en noviembre del 2012 nuestros productos dieron falsos positivos en varios archivos legítimos como Steam client, Mail.ru game center y QQ client. Una investigación interna demostró que estos incidentes se produjeron como resultado de un ataque coordinado por un tercero, el cual desconocemos.
Unos meses antes del incidente, nuestro laboratorio de investigación anti-malware recibió varios archivos legítimos de Steam, Mail.ru y QQ con pequeñas modificaciones, a través de canales de intercambio de información intrasectoriales como la página web VirusTotal.
@davidu @josephmenn @e_kaspersky Vikram @symantec has stated they deeply investigated the FP issue in '13 and findings != K
— Christopher M Davis (@DavisSec) August 14, 2015
Más tarde, llegamos a la conclusión de que los atacantes podrían haber tenido conocimiento previo de cómo funcionan los algoritmos de detección de malware de diferentes compañías, para inyectar el código malicioso precisamente dónde los sistemas automáticos buscarían.
Estos archivos que se recibieron modificados recientemente fueron examinados y catalogados como archivos maliciosos y almacenados en nuestras bases de datos. En total, recibimos varias docenas de archivos legítimos que contenían códigos maliciosos.
Empezaron a aparecer falsos postivos una vez que los propietarios legítimos de los archivos lanzaron versiones actualizadas de su software. El sistema comparó los archivos legítimos con nuestra base de datos de malware, que contenía archivos muy similares, y los consideró como maliciosos. Tras lo ocurrido, actualizamos nuestros algoritmos de detección para evitar este tipo de errores.
Mientras tanto, los ataques continuaron hasta el 2013 y seguimos recibiendo archivos legítimos modificados. También nos dimos cuenta de que nuestra empresa no era el único blanco de este ataque, otras compañías de la industria recibieron también estos archivos y los detectaron por error.
To be honest: its quite annoying all these insinuating stories about Kaspersky. Haven't seen any solid evidence nor trustworthy sources.
— Rickey Gevers (@UID_) August 14, 2015
En 2013 hubo una reunión a puertas cerrada entre los líderes de la industria de la seguridad cibernética y otros profesionales del software que también fueron víctimas de estos ataques, así como los proveedores que no fueron afectados por este problema, pero eran conscientes de ello. Durante esa reunión los participantes intercambiaron información sobre los incidentes, se trató de averiguar los motivos que había detrás de estos ataques y se elaboró un plan de acción. Por desgracia, no hubo grandes avances, aunque se expusieron algunas interesantes teorías sobre la autoría de estos ataques. En concreto, los participantes en la reunión consideraron la posibilidad de que algún proveedor de antivirus estuviera detrás de estos ataques, o que los ataques fueran obra de algún poderoso actor, aún desconocido, pero de gran alcance, para ajustar su malware con el fin de evitar ser detectado por las principales industrias de productos antivirus.
Wow, I was not expecting this, Kaspersky attacking rival sec companies, attribution comes from two ex-employees. https://t.co/itetBfZ1i0
— Liam O'Murchu (@liam_omurchu) August 14, 2015
Las acusaciones de este tipo no son una novedad. Ya a finales de los noventa, llevaba a las conferencias de prensa un cartel con la palabra “¡No!” escrita en él que me ahorraba mucho tiempo. Simplemente lo señalaba cuando me hacían alguna pregunta del tipo: “¿Creas virus para que tus productos ‘curen’ las infecciones?” Oh, sí. Claro. Y aún hoy me siguen preguntando lo mismo. ¿Realmente piensan que un negocio de más de 18 años y construido 100% sobre la base de la confianza, estaría haciendo este tipo de cosas?
My story on Kaspersky. http://t.co/IWWBQIi3mq
— Joseph Menn (@josephmenn) August 14, 2015
Parece que algunas personas prefieren presuponer la culpabilidad hasta que se demuestre lo contrario. Supongo que siempre habrá gente de este tipo. ¡Así es la vida! (C’est la vie). Pero realmente espero que la gente sea capaz de ver más allá de estas tontas acusaciones, anónimas y sin fundamento. Lo que puedo afirmar con certeza, es que vamos a seguir trabajando muy de la mano con la industria para hacer que el mundo digital sea un lugar más seguro, y que no renunciaremos a nuestro compromiso y determinación a la hora de exponer las ciberamenazas, independientemente de su fuente u origen.
.@kaspersky las declaraciones que envenenaron los competidores con los falsos positivosTweet
https://twitter.com/luludcheng/status/632241882437976064