|
|
sobre confianza y la neutralidad de la tecnología
Hoy me han pasado un enlace de un foro público underground, donde se reunen atacantes y creadores de troyanos, para preguntarme si era cierto lo que se decía allí. Básicamente es un hilo donde se comenta que en VirusTotal distribuímos a los laboratorios antivirus todas las muestras que nos llegan, aunque se elija la opción de "no distribución".
No es un rumor nuevo, desde que VirusTotal se hizo público comenzó a circular esta leyenda urbana por ese tipo de foros, incluso recuerdo haber leido a alguien afirmando que había hecho pruebas al respecto que demostraban que era cierto. Por nuestra parte nunca hemos entrado en ese tipo de discusiones, ni nos molesta que los creadores de malware tengan esa percepción, más bien al contrario.
Me explico, también en un principio a algunos laboratorios antivirus les preocupó esa opción, ya que podía ser utilizada de forma maliciosa por los creadores para comprobar si su muestra era o no detectada por los antivirus, e ir modificándola y probando cada versión en VirusTotal hasta hacerla indetectable.
El tiempo ha demostrado que la opción de "no distribución" se utiliza por lo general de forma bastante responsable, que los creadores de malware no se fían y prefieren comprobar sus creaciones de forma local: bien con versiones shareware, bien crackeadas, e incluso online, que los propios antivirus proporcionan para que los usuarios puedan probar sus soluciones. Hasta me he llegado a encontrar que han desarrollado herramientas específicas para ello, para probar muestras en local con múltiples antivirus.
¿Habría que cerrar VirusTotal si se observa un uso fraudulento? ¿Tendrían que dejar los antivirus de proporcionar versiones shareware o análisis online? Evidentemente no, no es un problema de la herramienta, sino del uso. La tecnología es neutra, todo depende del uso que se le de, y ésto es aplicable a todos los ámbitos. Por existir un posible uso malicioso no nos vamos a privar de todos los beneficios que proporcionan.
Respecto a la opción de "no distribución", se implementó para permitir a cualquiera poder analizar archivos sensibles, por ejemplo documentos recibidos, teniendo la certeza de que esa información aunque se marcara como infectada (bien por un positivo real o falso positivo), no iba a ser distribuida a nadie. Y es exactamente como funciona, si se marca la opción no se distribuye el archivo enviado bajo ningún concepto. Si en algún momento se decidiera que todas las muestras infectadas fueran distribuidas, simplemente quitaríamos esa opción. Básicamente, hacemos lo que decimos que hacemos.
¿Cómo podemos garantizarlo? No podemos, a no ser que alguien quiera venir al laboratorio y le enseñemos como funciona el módulo de distribución :). Como ocurre con cualquier servicio online o software que instalas en tu sistema, es una cuestión de confianza, sólo nosotros y los laboratorios antivirus participantes pueden comprobar sobre la marcha que funciona así. Si por cualquier circunstancia alguien tiene dudas, mi recomendación es que no utilice el servicio para enviar documentos sensibles. Por descontado, también estamos en contra de que se utilice VirusTotal con fines maliciosos para probar variantes modificadas, tratadas con packers, etc.
|
Básicamente es un hilo donde se comenta que en VirusTotal distribuímos a los laboratorios antivirus todas las muestras que nos llegan, aunque se elija la opción de "no distribución".
Lo malo de estas argumentaciones es que no hay manera de verificar fehacientemente si distribuís o no las muestras, habida cuenta de que vuestro producto es un desarrollo privativo cuyo código no está disponible para su análisis.
Por desgracia, pese a la credibilidad que podáis tener, la cual considero elevada, la palabra no es suficiente para muchos. Y menos en informática, donde las evidencias son apreciadas.
Saludos amigos
Lo malo de estas argumentaciones es que no hay manera de verificar fehacientemente si distribuís o no las muestras, habida cuenta de que vuestro producto es un desarrollo privativo cuyo código no está disponible para su análisis.
Argumentación errónea :)
Lo que haga internamente un servicio remoto que se ejecuta en un servidor no se puede verificar por el cliente que lo está utilizando en el otro extremo, independientemente de que el código sea público o no.
Ejemplo: mañana hacemos open source el módulo de distribución de VirusTotal, o VirusTotal completo (lo mismo da). El análisis del código demuestra que NO se distribuyen las muestras marcadas como "no distribución", puedes ver claramente una línea con un condicional que comprueba que si se ha marcado esa opción no se envía. ¿Qué te garantiza que en la versión que se ejecuta en el servidor esa línea se haya eliminado y por tanto se comporte justo al contrario? :)
La información sensible que se envíe a un servicio remoto siempre está basada en un principio de confianza, por ejemplo, tu tienes una cuenta de correo en gmail. ¿Quién te garantiza que la gente de Gmail no lee tus correos o que internamente se procese reenviándolo al FBI, etc, etc (incluir aquí todo tipo de conspiraciones)? ¿Te lo garantizaría que el código fuera público o privativo? Evidentemente no.
Acepto tu argumentación, puesto que es razonable.
Aún así, creo que el peso de la duda suele caer con más fuerza en los sistemas cuyo funcionamiento interno no se conoce. Se tiende siempre a sospechar más de aquello de lo que no vemos nada, que de aquello de lo que vemos parte, si bien, siguiendo tu línea argumental, en el fondo da igual.
No menos cierto es que quizás si vuestro modelo fuera abierto, habrían más "virustotales" y en caso de duda, la gente que duda emplearía otro "virustotal", pasando a segundo plano la sospecha que ese grupo haya manifestado. Tengo la certeza que la sospecha se diluiría más rápidamente. No quiero decir con esto que recomiende que abráis el código, ni mucho menos: cada cual hace con su conocimiento lo que le sale del alma.
Yo sigo pensando que si puedo reproducir tu modelo en mi máquina y lo analizo bien, quizás me sea posible estudiar el tuyo y sospechar si tu modelo en producción hace cosas que el mío no hace. No tendré certeza plena, pero a buen seguro, si tú envías muestras y yo no, unas mediciones quizás me hagan intuír que tú haces algo que yo no hago. También puedo deducir, una vez conocido el código, si es fácil o no es fácil incluir "hacks" en el mismo. Por tonto que parezca, cuando veo un código sé si es fácil o no introducir cambios. Es otro factor que tampoco proporciona certeza, lo sé, pero ayuda a formarse una idea.
Tampoco hagamos de esto un alegato en pro del codigo libre. Yo programo y lo hago privativamente la gran mayoría de los casos. El caso de fondo, el que imagino que debe preocupar más al interesado, es que cuando algo se basa en la confianza, hay quien confía y quien desconfía. Y ante eso, es tan lícito creer a una parte como a la otra.
Tú como parte afectada y sintiéndote agraviado, tienes todo el derecho del mundo a manifestar que "oiga, que yo no hago eso". Pero por desgracia, si pienso que sí haces lo que ellos dicen que hacéis, ni tendré más ni menos razón que tú: tendré la misma, ya que ni tu versión ni la de estos usuarios que citas es lo suficientemente acreditable para dar o quitar razones.
Quizás la manera de solventar las dudas sea empleando el modelo de Jotti (http://virusscan.jotti.org/), y no por basar su agregador en una aparamenta Linux, sino por su claridad a la hora de manifestar qué hace con las muestras: "Viruses uploaded here will be distributed to antivirus vendors without exception".
Este modelo puede que no tenga la vigilia que citas a la hora de subir documentos sensibles, cierto, pero desde luego, no da lugar a suspicacias: todo lo que se manda y se identifique como muestra vírica, se envía a las casas antivirus sin excepeción.
Saludos amables
Acepto tu argumentación, puesto que es razonable.
No esperaba menos ;)
que vemos parte, si bien, siguiendo tu línea argumental, en el fondo da igual.
Efectivamente. Incluso se puede aprovechar a favor que la gente desconfíe menos de algo que ve puntualmente (una vez que esté ejecutándose en el servidor no lo ves) para precisamente hacer alguna jugada "maliciosa".
Yo sigo pensando que si puedo reproducir tu modelo en mi máquina y lo analizo bien, quizás me sea posible estudiar el tuyo y sospechar si tu modelo en producción hace cosas que el mío no hace.
Me temo que en el caso que nos ocupa no. El que una muestra se envíe o deje de envíar no tiene repercusión alguna en el comportamiento del servicio observado desde el exterior (no va a responder más lento, el de distribución es un módulo independiente del resto de módulos de análisis, etc.).
También puedo deducir, una vez conocido el código, si es fácil o no es fácil incluir "hacks" en el mismo. Por tonto que parezca, cuando veo un código sé si es fácil o no introducir cambios.
En el caso que estamos hablando no es fácil, es muy fácil, y como programador experimentado es algo que debes haber deducido, a no ser que conozcas algún tipo de protección para impedir en el propio código fuente que no se modifique una condición :)
Tampoco hagamos de esto un alegato en pro del codigo libre.
Nada, nada... ahora no eches marcha atrás :D
caso de fondo, el que imagino que debe preocupar más al interesado, es que cuando algo se basa en la confianza, hay quien confía y quien desconfía. Y ante eso, es tan lícito creer a una parte como a la otra.
Bueno, entramos en otro debate. Al menos ya hemos dado por sentado que sea el software privativo u open source no te da garantía alguna sobre el comportamiento de un servicio remoto. Es un avance.
Este modelo puede que no tenga la vigilia que citas a la hora de subir documentos sensibles, cierto, pero desde luego, no da lugar a suspicacias: todo lo que se manda y se identifique como muestra vírica, se envía a las casas antivirus sin excepeción.
Ésto argumentación es aun peor :p
Analízalo:
Partimos de que hay usuarios interesados (por cualquier circunstancia) en que la muestras que quieren enviar no se distribuya bajo ningún concepto (si no no estaríamos discutiendo esta posibilidad de "conspiración"), caben dos opciones:
Si existe la opción de "no distribución":
a) que confíes, y la mandes a VT. (le es útil el servicio)
b) que no confíes, y no la mandes a VT. (no utiliza el servicio)
Si no existe la opción de "no distribución":
a) que confíe, pero no puede enviar la muestra para que no se distribuya (no utiliza el servicio)
b) que no confíes, igualmente no la manda a VT (no utiliza el servicio)
En definitiva, los usuarios que no confíen y no quieran que su muestra no sea distribuida no la van a enviar en ninguno de los dos modelos. Los usuarios que confíen y que no quieran que su muestra sea distribuida pueden utilizar el modelo actual de VT, si lo quitamos, no podrían.
¿Quitar una opción que es útil a la gente que confía por simplemente ahorrarme algunas posibles críticas sin argumentación, y que en ningún caso supone beneficio alguno para ninguno de los usuarios del servicio? Pues no :)
La verdad, no comparto tu punto de vista, soy moderador de un foro, que trabaja con virus y troyanos, y hemos hecho pruebas no una, muchassssss, con programas desarrollados dentro de nuestro laboratorio, y que solo los responsables tienen acceso (3 personas), al primer scan, nada de nada(opción no distribuir), a las 48 horas, salto el primer aviso de una conocida casa de antivirus, ojo!! Que el programa no fue distribuido bajo ninguna circunstancia, al cabo de una semana el 70 % de las casas saltaban con el aviso.
Para poner en claro:
El programa que se desarrollo, no era de tipo worm, bot, ni nada por el estilo(en cristiano no se propagaba bajo ninguna circunstancia), era una dll para inyección.
La pregunta del Millón es ¿ Cómo es posible que este archivo( de prueba), poniendo la opción “ “ no distribuir, fuera reconocido al cabo de una semana, cuando solo había un ejemplar compilado?
Por otro lado felicitaciones por la empresa me parece que realiza su labor 100% de efectividad, y siempre me saca de apuros cuando necesito algún crack. :)
Saludos cordiales,
MITM.
PD: Hay un worm que se esta distribuyendo por formato gif!!
Hola MITM,
Lo mío no es un punto de vista, sino que se a ciencia cierta que no se distribuye. Pero comprendo perfectamente que, visto desde fuera, puede ser una cuestión de fe :)
Por eso decía que quién desconfíe del sistema de no distribución (sea por la causa que sea), obviamente lo mejor es que no lo utilice. No hay que darles más vueltas.
Pero si quieres puedes exponer más detalles sobre el ejemplo que planteas, a ver si le encontramos alguna explicación (además de la que habéis deducido, que es que mentimos y si distribuimos lo marcado como no).
Por ejemplo, sería interesante cómo hicieron la primera detección. Si resultó ser una firma específica, o si se trataba de una genérica, heurística, etc.
También es interesante conocer si el bicho era un desarrollo totalmente nuevo o era alguna variante, o la habíais tratado con algún packer, etc.
Si no era un bicho totalmente nuevo, o si la firma no era específica, o si lo habíais utilizado para infectar a alguien, o si era algo conocido y tratado con packers o similares, o si aprovechaba o intentaba explotar alguna vulnerabilidad, o si lo habíais probado con algún antivirus que utilice monitorización del comportamiento (que suelen autoenviarse las muestras sospechosas), entonces te puedo dar otras posibles explicaciones.
Por otro lado, sería todo un record que un laboratorio antivirus detectara una muestra enviada a VirusTotal, tras reconocerla uno o dos motores, y hacerlo en 48 horas :)... no puedo dar datos de ese tipo de estadísticas, pero lo mismo os asombraría.
Como "contraejemplo", hay incluso una leyenda urbana a la inversa, gente que ya duda que distribuyamos las muestras marcadas por distribución porque los antivirus no las detectan pasados los días:
http://groups.google.es/group/es.comp.virus/browse_thread/thread/d6763d65ac709928/82af4ee637c8cda4?lnk=st&q=virustotal&rnum=3&hl=es#82af4ee637c8cda4
Aparte de nosotros, quiénes pueden comprobar si las muestras marcadas como "no distribución" se distribuyen o no son los propios laboratorios antivirus. Ya hay 25 motores y van en aumento, no es muy difícil conocer a algunos de los técnicos de algún laboratorio (más de uno rondará vuestros foros) y preguntarles o hacer una prueba con una muestra en concreto a ver si le llega.
¿Puedes decir la fecha (aproximada) y el nombre con el que apareció la primera detección? O en su defecto pásame el MD5 y miro en los logs a ver si tenemos alguna traza de esa muestra en concreto, si se envió en alguna ocasión para distribuir, etc.
Saludos
Hola y Grax por responder :)
Yo no dudo de los términos de distribución, para nada, y no pongo en tela de juicio los métodos de la empresa.
Pues, la dll era nueva, no estaba empaquetada, no explotaba ninguna vulnerabilidad, y jamás fue scaneado por ningún antivirus local, ni online, no infectaba!!, solo era un tema de inyección en un proceso de salida, tipo msn, iexplorer, en cuanto al tipo de scaneo, no te sabría decir como funcionan los motores de las casas de antivirus, pero fue en abril de este año a mediados del mes, el primero que salto después de dos días fue me parece Fortinet (no spam) = con un aviso de posible backdoor/generic o algo por el estilo y de ahí AVG(no spam) y luego varios mas con el transcurso de los días, los que no reconocieron el archivo si me acuerdo (no spam) Ikarus, TheHacker, AntiVir, BitDefender.
No me pidas MD5, por que jamás lo copie, por que pensé que nunca iba a salir este tema. :)
Volviendo al punto de inicio, como es posible?, Puede que tenga una teoría pero no lo veo factible, que entre las casas de antivirus compartan info. ?, Muy jalado de los pelos, pero puede ser, pero donde estaría la competencia de empresa..
Cual es el beneficio de virus total para con las casas de antivirus, asumiendo que el 50% de los usuarios no pongan distribución. , Que ganan ellos?, Que gana virus total?
Mira no voy para nada contra la empresa es mas me parece un gran logro y una de las pocas ideas que funcionan correcta y concretamente //clap\\, pero puede que tengas algún tipo de fuga de información por algún lado, en tu personal o en tu mismo sistema, no sabría decirte, pero lo que te estoy diciendo es verdad, es lo mismo, es como que pusieras en tela de juicio mi post, ya es cuestión de fe.
Bueno agradeciendo ante todo esta buena charla, espero que me entiendas mi punto de vista, así como yo entiendo el tuyo.
Saludos cordiales,
MITM
Pd: Si te quieres contactar para mayor detalle petzulu/hotmail/gmail
Hola MITM,
Por lo que cuentas la primera detección fue genérica (un Backdoor/Generic), además por parte de Fortinet, que tiene el sistema heurístico más paranoico del mercado.
Si hubiera sido una detección con una firma específica sería más sospechoso, pero las detecciones por firmas genéricas suelen ser porque la muestra desarrollada (por la técnica que utilice, etc) coincide parte de su código con alguna otra muestra que ya han detectado y analizado.
Como sabes, actualmente hay una gran proliferación de malware (aparecen cientos nuevos o versiones a diario), así que los laboratorios antivirus intentan por todos los medios diseñar firmas que les permitan de forma genérica detectar las posibles variantes de una pieza de malware.
Con respecto a si comparten muestras entre los propios laboratorios antivirus, la respuesta es sí. No en cantidades industriales (como distribuimos en VirusTotal), pero si de forma puntual o en casos significativos. De hecho, hay 2 o 3 organizaciones semi-públicas (son públicas pero mucha gente no las conoce), creadas por los propios fabricantes antivirus, para ese cometido. Evidentemente tienen sus rencillas, porque al fin y al cabo son competencias, pero realmente si existe colaboración entre las casas antivirus.
Saludos
Desde luego si son ustedes socios de Firefox no son mis enemigos si no unos sinverguenzas, me estoy volviendo loco buscando relaciones sexuales con una mujer por Internet, y si no lo son, socios, ¿me lo pueden decir igual?, gracias.
parece mentira hoy en dia llamarles creadores a esa mala gente. Si fueran tan inteligentes como se creen, sabrian detectar si el ordenador atacado es de gran empresa o gobierno, pero no, ese mal es para todos los ordenadores y un pobre cabron que solo disfruta bajando pelis o jugando tambien se jode con esa basura que unos llamados "creadores" distribuyen contodo su amor, ...destructores no creadores. Estoy por eso totalmente a favor que se distribuya , y que los pillen algun dia.
No se si le pasa a alguno pero mi ordenador es casi mi otro yo, y el que a algun estupido se le ocurra que es bonito hacer virus, y por eso yo tenga dolores de cabeza y preoupaciones acerca de mis archivos, no , no y no .
claro se sabe que la gente que desarrolla cosas para linux siempre serán considerados como unos salvadores, y se les tiene en muy alta estima, pero unos desgraciados, que por su forma de actuar hagan daño a gente sin escrúpulos solo pueden ser considerados terrorístas, auténticos. Ya sea la razón que sea por la que actuen. Ya sea la razón que sea por la que actuen. Ya que igualmente el moro que nos puso sus bombas en el 11m tuvo sus razones, las que fueran pero las tuvo. No hay razón para atacar a la gente sin escrúpulos.
Sr erd, si se fija Usted en el texto de Bernardo Quintero, justo donde utiliza la palabra "creadores de troyanos", podrá leer tambien la palabra "atacantes" que, más correcta que terroristas y que destructores, define a las personas que utilizan el software de manera despreciable. Pero por favor le pido, no confunda a quien crea el software con los que lo utilizan para "atacar" ordenadores ajenos sin el consentimiento de sus propietarios.
Crear un especímen de malware no implica de manera necesaria finalidades aberrantes. Está muy manido ya el ejemplo, pero no por ello deja de ser didactico: Un fabricante de cuchillos no es responsable de lo que los clientes hagan con sus cuchillos. Lo mismo pueden ser usados para cortar filetes,pelar patatas,etc, que para cometer robos con intimidación, homicidios o asesinatos.
Un ejemplo más cercano y más didactico aun, el emule. Lo mismo puedes usarlo para compartir software libre que para compartir pornografia infantil. ¿Tienen culpa los programadores de lo que hagan despues los usuarios?
Por último señalar también que hay gente que utiliza el malware en máquinas de su propiedad.
En lo que si coincido contigo es en que no el uso, sino el abuso, es ética y jurídicamente condenable. La creación de malware por el contrario no la considero condenable sino una rama más de la programación.
Saludos.
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/165/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
|
