Sigue a

Shaun Cooley

La semana pasada estuvimos en San Francisco, atendiendo al evento Next@Norton en el que Symantec presentó el futuro de su solución de seguridad, y donde pudimos entrevistar a Shaun Cooley, ingeniero de Norton y experto en temas de spam, wireless y en seguridad en la domótica. En algunas preguntas también pudimos contar con Patrick Gardner, director de desarollo senior para Norton y que nos aclaró algunos temas más técnicos como el análisis heurístico.

Genbeta: En tu experiencia como ingeniero para Norton, ¿cuál ha sido el mayor reto técnico al que te has enfrentado?

Antes solíamos ver malware muy genérico, pocos programas que se usaban mucho. Ahora hay mucho más malware más personalizado, en algunos casos malware especial para cada usuario. Construir un sistema de reputación para gestionar todos los datos que obtenemos y analizarlos para identificar amenazas ha sido el mayor reto técnico de todos.

Genbeta: ¿Qué parte de la cadena de funcionamiento del correo electrónico es más vulnerable al spam?

Los Open Relays. Al enviar un correo, hay un servidor SMTP que envía el mensaje y otro lo recibe. Si un servidor SMTP gestiona las direcciones @test.com y recibe un correo destinado a una dirección @xways.com, directamente rechazará esa conexión. Sin embargo, un Open Relay la aceptará y reenviará el correo al servidor SMTP correspondiente. De esta forma, los spammers envían miles de millones de mensajes a un Open Relay, que los reenviará a sus destinos. Como ese Open Relay es un servidor conocido y confiable, los otros servidores no marcarán sus mensajes como spam.

Spam

Genbeta: Además del correo basura, está el correo gris, correo que no es deseado pero que tampoco es spam: boletines, promociones, listas de correo… ¿Cómo gestiona un sistema de spam este tipo de correo?

Efectivamente: tenemos el correo negro, que es el spam, el blanco que es el correo totalmente deseado, y luego tendríamos el correo gris, que está entre medias. Al trabajar con un sistema de control de spam tienes que poner un umbral. Dependiendo de donde coloques ese umbral se clasificará más o menos correo gris como spam. Hay otras técnicas, como las listas de dominios verificados. Por ejemplo, aunque el sistema de spam diga que este boletín del New York Times es spam, como tenemos su dominio verificado llegará a la bandeja de entrada del usuario.

Genbeta: Hace poco, se demostró que el algoritmo de hashing MD5 es vulnerable. ¿Qué otras soluciones de seguridad han sido vulneradas y, aun así, se siguen usando ampliamente?

Patrick Gardner: Por ejemplo, WEP y en menor medida WPA1 son mecanismos de seguridad para redes WiFi vulnerables y que aun así se siguen usando mucho. Otro ejemplo que se me ocurre son las contraseñas sin salt: muchos sitios guardan las contraseñas sin un salt de forma que aunque usen un algoritmo muy seguro, las contraseñas son recuperables desde el hash en un tiempo razonable usando tablas arcoiris.

Genbeta: En el caso de WEP o WPA1 ¿cómo hariáis que los usuarios migrasen a nuevas soluciones más seguras?

Patrick Gardner: No tenemos una solución específica para hacer que los usuarios migren. Si tuvieses, por ejemplo, una puerta de enlace (router) Norton, podríamos cambiar a los usuarios a nuevas tecnologías. Además, al controlar todos los dispostivos del hogar desde el router podríamos migrar sin perder compatibilidades y permitiendo al usuario que configure todos sus dispotivos fácilmente. Además, tener una puerta de enlace Norton nos permitiría controlar los parámetros de configuración: por ejemplo, si el usuario configura una contraseña de cuatro caracteres para la WiFi, podríamos avisarle y recomendarle que cambie a una contraseña más segura.

Creo que la mejor solución para tener contraseñas realmente seguras es tener un gestor de contraseñas que cree y recuerde todas las contraseñas por ti.

Genbeta: Aprovechando que mencionas la seguridad de las contraseñas, ¿cuál es tu recomendación para que un usuario mejore la seguridad de sus contraseñas?

Patrick Gardner: Personalmente uso el gestor de contraseñas de Norton, y creo que es lo mejor que un usuario puede hacer: no hay que recordar más que una contraseña maestra, no hay que preocuparse de qué es una contraseña maestra, incluso podemos cambiar automáticamente las contraseñas cada mes.

Genbeta: Pero tener todas las contraseñas en un mismo sitio, ¿no es eso un riesgo de seguridad?

Patrick Gardner: Por supuesto, pero para eso tienes que usar un proveedor confiable. Además, es mejor correr este pequeño riesgo a tener contraseñas débiles, a no cambiarlas cada poco tiempo o a tenerlas en un papel en tu cartera.

La complejidad en el malware: nuevas técnicas y cómo combatirlas desde el análisis heurístico

Flamer.W32

Genbeta: Últimanente estamos viendo malware muy complejo, como Flame, Duqu o Stuxnet; o técnicas como ROP (Return Oriented Programming). ¿Es una tendencia general del malware o son sólo casos aislados?

Duqu, Stuxnet o Flame es malware realmente complejo, mucho más que el que vemos normalmente. Aun así, la complejidad del malware normal se está incrementado poco a poco: malware que cambia constantemente o que está preparado para cada usuario. Por eso, los sistemas de firmas cada vez son menos efectivos y tenemos que movernos a otros sistemas de detección de amenazas.

Con un malware cada vez más complejo, los sistemas de firmas son cada vez menos efectivos.

Genbeta: Imagino que uno de esos sistemas será el análisis heurístico. ¿Podrías explicarnos cómo funciona?

Patrick Gardner: Básicamente usamos telemetría y análisis de datos. Por ejemplo, tenemos una idea o intuición en Norton: una página web que envía un ejecutable de Windows como si fuese una imagen puede ser malo para el usuario. Enviamos eso a los antivirus en los ordenadores de los usuarios, que bloquearán esos ejecutables que parecen imágenes. En unas horas tendremos un montón de datos de los archivos que han sido bloqueados: algunos serán buenos y otros malos. Quizás veamos que hay usos legítimos en esta situación, pero que si los contrastamos con la reputación de los sitios vemos que vienen siempre de webs con mala reputación o que han aparecido recientemente. Decidimos que es una amenaza, así que en la siguiente versión de la base de datos de firmas ese archivo estará incluido y será bloqueado automáticamente.

También usamos un análisis de las características de las aplicaciones: cómo se ha lanzado, de donde viene, conexiones a Internet, acciones individuales, conjuntos de acciones que toma la aplicación… Combinado con los millones de ejemplos que nos dan los usuarios y un algoritmo de aprendizaje automático podemos saber si un archivo es bueno o malo.

Redes WiFi: cuidado con las redes abiertas, no son tan bonitas como parecen

Conectarse a una wifi abierta no es necesariamente malo, pero no deberías estar haciéndolo continuamente.

Genbeta: Vamos ahora a hablar de WiFi. Muchos usuarios ven una wifi abierta y se conectan alegremente. ¿Qué riesgos de seguridad hay si haces eso?

Hay varios problemas. El primero es que no hay cifrado. Cualquiera, incluido el del portátil que está a tu lado, puede ver toda la información que estás enviando. Si usas una página segura (HTTPS) todavía tienes una conexión cifrada directamente desde tu ordenador, pero si usas una web no segura estás exponiendo datos que podrían usar para atacarte. También te puedes encontrar con que te has conectado a un punto de acceso falso. Hay pequeños dispositivos, como WiFi Pineapple, que imitan los parámetros de una red abierta en sus alrededores de forma que cuando alguien se conecta a ellos va guardando toda la información que transmiten. En definitiva, conectarse a una wifi abierta no es necesariamente malo, pero no deberías estar haciéndolo continuamente.

WiFi Una WiFi abierta no es tan bonita como parece.

Genbeta: Hay un sistema, llamado WDS, que permite al usuario configurar una conexión WiFi sin complicaciones. Parece tan fácil que surge una pregunta: ¿tiene algún problema de seguridad?

El WDS es un código de 10 dígitos que puedes usar para configurar la conexión. El router wifi envía continuamente paquetes con la información necesaria para que un ordenador se conecte, paquetes cifrados con esos 10 dígitos. El problema es que romper un código de 10 dígitos por fuerza bruta es realmente fácil, así que en poco tiempo puedes acceder a esa WiFi sin problemas. Para evitar esto, los routers más recientes tienen un botón que pulsas para activar WDS durante un período de tiempo suficiente para que configures la wifi, y que disminuye los riesgos de este sistema.

La domótica también será vulnerable al malware

Genbeta: En unos pocos años las casas conectadas serán una realidad. Pero, ¿qué pasa si un malware te infecta el frigorífico, por ejemplo? ¿Qué se podría hacer contra este tipo de ataques?

Usar un router con una sistema de seguridad. De esta forma, si una amenaza consigue pasar el router, infecta la nevera y empieza a enviar spam indiscriminadamente, podemos bloquearlo para que no se comunique con el exterior: nadie podría controlarlo ni podría seguir enviando spam. Lo único que podría hacer es tirar hielos continuamente para molestarte (risas). No podríamos repararlo desde el router salvo que tuviese algún tipo de comando que permita restaurarlo a ajustes de fábrica remotamente.

Tener un sistema de seguridad en el router es la mejor solución para la seguridad de la casa conectada. Así, si un malware te infecta el frigórifico, lo único que podría hacer sería tirate hielos a la cara.

Genbeta: La casa conectada no es sólo electrodomésticos con Wifi, también es televisiones y consolas conectadas a Internet. ¿Cuáles serían las consecuencias de que un malware infectase tu consola o televisión?

Las televisiones y consolas de juegos son dispositivos muy interactivos. El malware dirigido a ellos tendrá como objetivo capturar información: tarjetas de crédito, contraseñas… Creo que veremos dos tipos de amenazas: por un lado malware para capturar información en dispositivos complejos, como los que acabo de comentar; y por otro malware que se aprovechará del poder de computación en dispositivos que sólo tengan controladores (frigoríficos, lavadoras…) para enviar ataques DDoS o enviar spam.

SmartTV Las Smart TVs también serán objetivos de malware.

Genbeta: ¿Todo lo que estamos hablando sobre malware en televisiones es teórico o ya hay algún tipo de amenazas existentes?

Hace poco mostraron una prueba de concepto de una vulnerabilidad en un gran fabricante de televisiones. Estaba vulnerabilidad permitía a un atacante remoto poner a la televisión en un bucle de reinicio infinito: se encendía, se volvía a apagar y así indefinidamente. No parece mucho, pero es uno de los primeros pasos. A medida que sigan investigando llegarán a ser capaces de vulnerar una televisión y ejecutar el código que quieran en ella.

Hasta aquí esta entrevista. Sólo me queda agradecer a Shaun Cooley y Patrick Gardner que nos pudieran atender, y a Stefan Wesche que gestionase la entrevista.

Imagen | Fboyd, Michael Chen, Carlos Manuel Citalán Marroquín

Los comentarios se han cerrado

Ordenar por:

33 comentarios