La deformación profesional es lo que tiene, basándose en la experiencia se tiende a dar por hecho algunas cosas, se presupone o se crean asociaciones que son complicadas de romper a la hora de abordar soluciones. Así, por ejemplo, el malware se asocia a Windows (con razón, es la plataforma que se lleva la palma con diferencia), además se piensa en Internet Explorer como principal vector de entrada del malware a través de exploits del propio navegador y/o de Windows (también existe un buen historial que avala esta idea).
Partiendo de esas premisas no es de extrañar que muchos honeypots clientes se monten con versiones vulnerables de Windows e Internet Explorer, que son expuestos a la navegación masiva de sitios webs esperando que alguno de ellos provoque la explotación de alguna vulnerabilidad y la infección del sistema.
Así que como el binomio Windows e Internet Explorer es el más atacado, existe una fuerza que nos lleva a todos a utilizarlo como plataforma de honeypots clientes, porque es el que nos asegura la detección de un mayor número de ataques. Si bien la verdad es que los ataques se están diversificando mucho, a día de hoy es bastante normal encontrar una batería de diferentes exploits en los servidores webs que se despliegan en función del cliente que visita la web. Así encontramos exploits basados en versiones vulnerables de Firefox, Opera, Acrobat Reader, WinZip, QuickTime, etc.
¿Qué ocurre si se visita con un honeypot basado en Windows e Internet Explorer uno de esos servidores webs con exploits a la carta? Pues normalmente se detecta el ataque basado en Internet Explorer. ¿Pero y si hay webs que evitan atacar a Internet Explorer precisamente para no ser detectados por los honeypots clientes? Pues muy probablemente el honeypot no detecte ningún tipo de ataque y marque esa dirección web como inofensiva.
¿Realmente un atacante va a renunciar a un mayor número de infecciones para intentar no ser detectado? Tirando de archivo, aquí podemos ver un gráfico con las estadísticas de un caso concreto de una web que utilizaba uno de los famosos toolkits de exploits, donde se aprecia claramente que la explotación de productos como QuickTime u Opera es minoritario. El parque de usuarios de Firefox comenzaba a ser bastante interesante, pero la palma se la seguía llevando claramente Internet Explorer. ¿Realmente alguien puede pensar en desarrollar ataques sin tener en cuenta la plataforma mayoritaria?. Pues aunque nos sorprenda parece ser que sí.
Y todo esto nos lleva a la nueva economía 2.0 aplicada a la industria de los ataques... la especialización en los nichos. En sitios como Amazon puedes encontrar prácticamente cualquier libro, porque en su servidor tiene un extensísimo catálogo. Además es inteligente, y basándose en tu perfil de visitas y compras, te recomienda los títulos que más te pueden interesar, por muy raro o especializado que sean tus gustos. Pues el mismo modelo lo podemos encontrar en los exploits en Internet para platafomas clientes. Visitas una web con un toolkit de ataque y, basándose en tu plataforma, el servidor te lanza el exploit que mejor se ajuste a tu sistema.
¿Y si quiere evitar ser detectado por honeypots clientes y que cierren su infraestructura (desactiven el servidor web de ataque)? Pues debería evitar atacar a las configuraciones más comunes utilizadas por los honeypots. ¿Y eso no será una merma muy importante en el número de afectados? Pues depende, si tenemos en cuenta que el servidor podría permanecer mucho más tiempo activo al no ser tan fácilmente detectado. Una de las reglas de oro de la nueva economía 2.0 es precisamente ese, la suma de muchos pocos es más que la suma de pocos muchos.
Como anécdota relacionada, cuando en VirusTotal decidimos traducir a varios idiomas, hubo quién se planteaba hasta que punto era rentable, ya que al fin y al cabo preveía que la gran mayoría del flujo de usuarios vendría de la versión en inglés y español. A día de hoy podemos decir que las visitas del resto de idiomas (muchos pocos) supera con creces a la suma de inglés y español (pocos muchos).
Lo que ha originado que suelte este tostón es que estaba leyendo el PDF donde Google explica la metodología para detectar URLs maliciosas que utilizan para alimentar el servicio disponible a través de su Safe Browsing API, que los usuarios de Firefox 2.x ya disfrutaban a través de una extensión y que ahora viene de serie y activado en Firefox 3.x.
Leyendo el citado PDF, encuentro:
"Verification Phase. This phase aims to verify whether a candidate URL from the pre-processing phase is malicious (i.e., initiates a drive-by download). To do that, we developed a large scale web-honeynet that simultaneously runs a large number of Microsoft Windows images in virtual machines.[...] Each honeypot instance runs an unpatched version of Internet Explorer.". Es decir, que han optado por la configuración típica de los honepots clientes, Windows e Internet Explorer vulnerable.
Con esta configuración seguro que han conseguido una gran base de datos de URLs maliciosas, pero que protegen mejor al binomio Windows e Internet Explorer que a Windows y Firefox, y ya no hablemos de otras plataformas como Linux o Mac. Si el objetivo era conseguir detectar el mayor número de URLs maliciosas, la elección parece acertada. Pero si el objetivo era conseguir identificar el mayor número de URLs maliciosas que puedan afectar a usuarios de Firefox, entonces parece que la cosa cojea un poco.
Es un caso concreto, pero realmente esta visión parcial y vicidada que se centra en lo más voluminoso y extendido es algo de lo que adolece la industria de la seguridad en general. Internet ha roto muchos esquemas clásicos, y lo mismo que está permitiendo afrontar una nueva forma de hacer negocios basada en la personalización, también ha permitido a los atacantes diversificar sus objetivos y llegar a un "público" más heterogéneo. Ahora hace falta que la propia industria de la seguridad tome nota y se adecue al nuevo escenario.
