mayo 25, 2016
Darwinismo aplicado a la seguridad informática – Parte 2: Vacuna contra BS.
¡Hola, amigos!
Como lo prometí, adjunto más información sobre la conexión entre la teoría de la evolución y como se ha desarrollado la protección contra las amenazas cibernéticas.
A la fecha, nadie sabe lo que origina precisamente las mutaciones de los organismos vivos. Algunos de los más atípicos expertos consideran que es culpa de los virus, que reorganizan deliberadamente los genes (sí, ¡he ahí quién manda realmente en el mundo!). Pero, como sea, también ocurren procesos de mutación similares en la seguridad informática, ayudados en algunas ocasiones por virus.
De acuerdo a las costumbres del principio de la lucha por la existencia, las tecnologías de seguridad tienden a evolucionar conforme pasa el tiempo: aparecen nuevas categorías de productos, algunas otras se extinguen, mientras algunos productos se fusionan con otros. En cuanto al último caso, los verificadores de integridad eran un gran avance a mediados de los 90s, aunque hoy en día solo son una pequeña parte de las soluciones de endpoints. Han aparecido nuevos segmentos y nichos de mercado (por ejemplo, Anti-APT) para complementar el arsenal existente de tecnologías de seguridad, y esto es un proceso normal para una simbiosis positiva para siempre. Al mismo tiempo, algunos asquerosos parásitos salen de la carpintería para obtener algo de calor del sol. Así es la vida, y así siempre ha sido, y no podemos hacer nada al respecto.
En la lucha por dominar el Mercado de valores de la seguridad informática, normalmente aparecen profetas prediciendo un final repentino para las tecnologías “tradicionales” y, por alguna coincidencia, la invención (justo a tiempo) de un disparatado producto milagro revolucionario (con grandes descuentos para los primeros 5 compradores).
Pero esto no es algo nuevo: ¿alguien recuerda el anti-spyware? A principios del 2000 un montón de productos hechos para deshacerse del spyware nacieron de la nada. Se hablaron muchas tonterías a los clientes sobre la incapacidad de los “antivirus tradicionales” para afrontar este problema en especial, pero, desde el principio, todo fue una mentira.
Pero el mercado siempre ha estado acostumbrado y cansado de estos profetas, y hoy en día, lucrar con tales productos milagro requieren de una inversión mucho más grande y de muchos esfuerzos de mercado.
David – y Goebbels y Don Draper- contra Goliath.
Cuando se trata de mantener las tradiciones de la propaganda de estado o el sector privado (Madison Avenue), lo que los productos milagro hacen es apuntar hacia ciertas vulnerabilidades de la psicología humana que se mantienen desde la infancia; más específicamente, la creencia en milagros y teorías de conspiración.
El guion de productos de nueva generación es más o menos así: un conjunto de personas codiciosas y degeneradas –los chicos malos- tienen dominada monopólicamente a una comunidad de cuento de hadas. Los chicos malos alimentan las ideas sin sentido de la comunidad y reprimiendo las ideas de progreso. Después llegan algunos “innovadores” – los chicos buenos – para salvarlos. Normalmente se ganan la simpatía de los espectadores, mientras que los chicos malos solo inspiran antipatía. La película termina con una victoria para los buenos y un brillante futuro.
Bien, reduzcamos la emoción y echemos un vistazo más de cerca al escenario.
Bajo el capó.
Los fabricantes de los productos milagro de la última década han insistido mucho sobre un tema que llaman inteligencia artificial (“AI”).
La inteligencia artificial es alabada como si se tratara de una tecnología milagrosa, la cual por si misma – sin la aportación del usuario – ¡almacena a quien sea que lo esté usando inmediatamente, de todo, por siempre! Hmmm. Suena fantástico. Y después de ver el anuncio de esta tecnología maravillosa descubres que esta es la nueva forma de hacerlo, este es el futuro: La magia nos libra del malware, spam, ataques dirigidos y otras desgracias cibernéticas.
Como nos gusta recibir gato por liebre. Como nos gusta creer que seremos salvados por algún ser supremo – solo porque esa fantasía es reconfortante, no porque sea creíble J. Por lo queremos descubrir más. Entonces indagamos más a profundidad. Más allá del material publicitario… pero descubrimos que no hay nada más por descubrir. Cualquier pregunta que va más allá de lo general es dirigida a algún gurú técnico, y, después de eso – es la hora de Depeche Mode. Para siempre.
Bajo el microscopio.
Muy bien. Veamos desde cerca…
Entonces todos los productos milagro se burlan de los métodos tradicionales, mientras predican los métodos no tradicionales – como la inteligencia artificial. Algo parecido a Skynet, ¿verdad?
Lies, damn lies, and automated statistics?
— El-Amayo Jong-Il (parody) (@suburbsec) May 19, 2016
No, no es como Skynet, es incluso mejor. Lo que hacen los productos milagro es usar métodos únicos de aprendizaje en los dispositivos”, “sin necesidad de actualizaciones”, “utilizan muy poca memoria”, “trabajan de manera imperceptible en el fondo”, “trabajan de manera más efectiva que los productos tradicionales”, “reporta menos falsos positivos” y también “intercepta espionaje altamente sofisticado mientras que otros no lo hacen”.
Cuando les preguntan cómo, responden diciendo que no se pueden dar a conocer los métodos precisos, ya que, podrían ser utilizados por los chicos malos. En vez de dar una pista sobre su magia, cualquier cliente o inversionista o periodista recibe una historia repetitiva.
Hacer más atractiva esa historia con folletos de colores, un sitio web bonito e incluso una elegante conferencia de prensa no los ayudará de mucho. Para poder vender sus productos o atraer inversionistas deben tener algo más convincente. Preferiblemente de un tercero, un tercero con mucha reputación.
Para los productores de los artículos milagro, eso es un gran golpe. ¿Cuál es su respuesta? Ellos simplemente no forman parte de pruebas independientes, o, si es que lo hacen, solo es en algunas, siguiendo las tradiciones del test marketing, y malinterpretando los resultados. Donde ellos brindan su propia “evidencia” de efectividad, basada en metodologías falsas y obscuras.
@e_kaspersky What is your opinion about having the test commisioned and then using it in PR as "won the independent test"?
— Jindrich Kubec (@Jindroush) January 24, 2013
Tradición novedosa de la Inteligencia Artificial.
En el corazón de la retórica de marketing de los productos milagro se encuentra la negación de cualquier método “tradicional”, prefiriendo los más nuevos y progresivos. “Los héroes del ayer están vendiendo la tecnología de ayer y son incapaces de inventar algo nuevo, con más tecnología y de mayor utilidad”.
Bien, probemos eso. Tomemos el ejemplo del aprendizaje de las máquinas. ¿Es solo una nueva moda que los fabricantes de productos de artículos milagrosos utilizan?
En realidad, el aprendizaje de las máquinas ha sido utilizado repetidamente en la seguridad informática desde inicios de los 2000.
Por ejemplo, 99,9% del nuevo malware que detectamos, es detectado realmente por robots de aprendizaje de las máquinas – los precursores de la inteligencia artificial. Solo un pequeño porcentaje – los virus más complejos – son los que requieren la ayuda de un experto. De hecho, todas las tecnologías de protección proactiva necesitan aprendizaje de las máquinas, sin excepción. Por ejemplo, nos permite: 1.- Monitorear la actividad con System Watcher, que rastrea los cambios en el sistema y rebota cualquier acción maliciosa que encuentra, 2.- brinda protección automática contra virus que usan vulnerabilidades aún no descubiertas, 3.- aplica heurísticos en diferentes módulos para atrapar malware basado en pistas indirectas, 4.- realiza emulaciones, que ejecutan los archivos sospechosos en “cajas de arena” aisladas, y 5.- aplica nuestro Sistema de Análisis de ataques dirigidos en los ataques sofisticados. Y tenemos decenas de ejemplos más.
El ADN de la seguridad.
El desarrollo continuo de tecnologías de protección es la parte más importante del ADN de la Industria de Seguridad Informática. El aumentar el potencial defensivo, cambiar las generaciones de las tecnologías de seguridad, introducir nuevas características… es la única manera de sobrevivir en la lucha contra el cibercrimen. También es la principal motivación para competir de manera satisfactoria. Las nuevas tecnologías aumentan la efectividad de la protección, disminuyen el consumo de los recursos, y hacen que los productos sean más sencillos y convenientes para el usuario. ¿Quién atrapa a los gusanos del mercado? El ave más innovador.
Y cuando hablamos del desarrollo continuo de las tecnologías de protección, lo que surge es el desarrollo continuo de tecnologías más inteligentes, mejor conocidas como aprendizaje de máquinas. Y no podía ser de otra manera: para procesar manualmente varios cientos de miles de nuevas muestras de códigos maliciosos al día es imposible. Y también, ¿quién querría intentarlo? Es mejor usar el cerebro para inventar algún sistema inteligente y después dejar que ese sistema haga el trabajo de manera confiable y automático. Eso es simple. Se llama progreso tecnológico. Algo que no es nada nuevo.
"The depth-limited tree search with arbitrary scoring heuristics will replace your job." Sounds like it was a crappy job?
— Jim Gray (@grayj_) May 19, 2016
Es importante entender que el aprendizaje de las máquinas es un componente necesario para la seguridad informática, pero es insuficiente por sí misma. La seguridad informática exige protección multicapa – para todo tipo de dispositivos, contra todo tipo de amenazas, en todos los niveles- que sea capaz de reaccionar rápidamente contra los nuevos retos y adaptarse a las necesidades de seguridad del mundo de negocios real. Claro que esta no es la última y exhaustiva respuesta a la pregunta “¿cómo proteger todo ahora y para siempre?”, ya que tarde o temprano los cibercriminales encontrarán la manera de sobreponerse incluso al modelo adaptativo; pero no se preocupen, ya habremos pensado en algún otro obstáculo para ellos en ese momento.
Achtung Baby
Creo que la pasión por la inteligencia artificial continuará por mucho tiempo. Y eso es bueno: mientras existan más compañías dispuestas a luchar por sobrevivir intentando encontrar una salida más inteligente será el ganador.
Por un lado, los vendedores continuarán fortaleciendo la capacidad tecnológica del procesamiento automático del malware para tener una protección proactiva basada en el aprendizaje de máquinas. Por otro lado, el mercado tendrá que continuar tolerando a los nuevos profetas prometiendo curas, ya que hay algo sobre el término “inteligencia artificial” que se lleva muy bien con la credulidad y la fantasía. Debe ser magia :).
https://twitter.com/ReverseICS/status/733097111160426496?ref_src=twsrc^tfw
Desafortunadamente, no hay una vacuna universal contra los productos milagro. Al mismo tiempo, no descarto que nazca alguna supertecnología capaz de transformar al mercado de la seguridad de la informática, algo que aplaudiría, por supuesto. Por lo tanto, siempre existirá la posibilidad de que algo pase con la inteligencia artificial: midiendo a todos con la misma vara. Y utilizaré otra metáfora: espero que ustedes, queridos lectores, sean capaz de separar el grano de la paja cuando de inteligencia artificial se trate (bueno, solo una metáfora más…) y continúa aprendiendo del tema.
Horizontes eternos de la selección natural
La curiosidad del ser humano y el deseo de sabiduría siempre hará que queramos llegar al pico más alto del horizonte – simplemente para descubrir qué hay ahí, y entenderlo. Invertimos mucho tiempo y recursos explorando, comprendiendo y conquistando más allá del horizonte.
Parece que esta ecuación no tiene solución: desde el punto de vista racional, el tratar de percibir el infinito con recursos finitos no solo suena inútil, sino también tonto. En fin, nosotros, los homo sapiens continuaremos cavando, creyendo que el universo es una muñeca matrioshka, que solo necesita ser desarmada para ser apreciada en su totalidad.
La actitud de cada quien hacia el futuro es una cuestión filosófica y meramente personal. Mi visión personal es que debería seguir cavando, sin importar lo que pase. La racionalización del caos y el aumento de la consciencia son dos de las metas más grandes en la humanidad. Y la experiencia me ha mostrado que también es algo muy divertido y útil para el alma, el cuerpo y la sociedad. Pero también es importante para la seguridad de la informática: nuevas generaciones de ciberataques aparecen cada semana, así que debemos pensar en nuevas formas de hacer la vida de las personas detrás de esos ataques más difíciles.
Como en el bajo mundo de las computadoras, en la industria de la seguridad de la informática, la selección natural es mala y dura. La omnipresencia y lo impredecible de los ciberataques (ambos continúan creciendo) requieren de nuevas maneras de pensar, y, como cualquier manera de salir de la zona de confort, es poco placentera y costosa, aunque es inevitable e invariablemente la única manera de evitar la extinción.