Global Preloader
Noticia Internacional
(10/Jan/2018) Cómo el software antivirus puede ser la herramienta perfecta para espiar

Cómo el software antivirus puede ser la herramienta perfecta para espiar

Su producto antivirus podría estar espiando sin que usted tenga una pista. Puede ser un comportamiento intencional pero legítimo, pero el intento (malintencionado) es el único paso que separa el software antivirus de una herramienta de ciberespionaje.
Debido a que confiamos en el antivirus para mantenernos a salvo del malware, dejamos que revise todos nuestros archivos, sin hacer preguntas. Independientemente de si los archivos personales o documentos de trabajo, el antivirus tiene acceso a todos ellos, lo que le permite funcionar según sea necesario.

Esperamos que un producto de seguridad funcione de esta manera, ya que la mayoría de ellos han sido diseñados para analizar todos los archivos en el sistema para detectar posibles amenazas, y aceptamos este comportamiento como parte del mecanismo de protección de nuestra computadora.
¿Qué pasa si las mismas características que están destinadas a protegernos de las amenazas se convierten en las mismas amenazas? ¿Sería posible utilizar una aplicación antivirus como herramienta de espionaje, marcar los documentos de interés y filtrarlos en lugar de mantener nuestros archivos a salvo? La respuesta parece ser "¡Sí!"
En algunos casos, la exfiltración de datos, que es un comportamiento legítimo, podría provocar fugas involuntarias, como sería el caso con los programas de seguridad que cargan archivos binarios en multiscanners basados ​​en la nube como VirusTotal de Google. En un intento de evaluar mejor si los archivos son maliciosos o no, estas herramientas de seguridad terminan filtrando datos si los archivos analizados son accesibles para los suscriptores del multicanal.
Pero, ¿qué pasa si tu antivirus se convirtió intencionalmente en una herramienta que podría espiarlo? ¿Sería eso posible sin modificar el programa en sí? Según el investigador de seguridad Patrick Wardle, es posible.
Para probar esto y usar el "Manual Antivirus Hacker" (Joxean Koret) como base para un experimento, manipuló las firmas de virus para Internet Security de Kaspersky Lab para macOS y modificó una de las firmas para detectar automáticamente documentos clasificados y marcarlos para su recolección. Al modificar las firmas en lugar del motor antivirus, no alteró el objetivo principal de la aplicación de seguridad.
Wardle llevó a cabo su experimento en un producto Kaspersky por una razón obvia: el año pasado, los informes sugirieron que el software de la compañía de seguridad con sede en Rusia se había utilizado para robar documentos clasificados de una computadora del contratista de la Agencia Nacional de Seguridad (NSA). El contratista se llevó a casa datos confidenciales, incluidos exploits de la NSA, y aparentemente fue atacado por hackers luego de que un producto de Kaspersky en su computadora hogareña indicara que los archivos eran maliciosos y los envió al servidor de la compañía para su posterior análisis.
En diciembre de 2017, la contratista de la NSA, Nghia Hoang Pho, nacida en Vietnam, aceptó declararse culpable de retirar y conservar documentos altamente secretos de la agencia. La semana pasada, otro contratista de la NSA acordó declararse culpable después de haber sido acusado de acumular alrededor de 50 terabytes de datos y documentos de la NSA en su casa y automóvil durante un período de 20 años.
En septiembre de 2017, el Departamento de Seguridad Nacional (DHS) de los Estados Unidos ordenó a los departamentos y agencias gubernamentales que dejaran de usar los productos de Kaspersky debido a las preocupaciones sobre los vínculos de la compañía con la inteligencia rusa. El mes pasado, Lituania dijo que prohibiría los productos de Kaspersky Lab de las computadoras que administran sistemas clave de energía, finanzas y transporte debido a problemas de seguridad.
El fabricante de antivirus ha negado continuamente cualquier conexión con el gobierno ruso e incluso lanzó una nueva iniciativa de transparencia para limpiar su nombre. En diciembre, la compañía demandó al gobierno de EE. UU. Por la prohibición de productos.
Hasta el momento, no se ha presentado ninguna coincidencia que muestre conexiones inapropiadas entre Kaspersky Lab y el gobierno ruso.
En un análisis técnico publicado el año pasado, Kaspersky sugirió que el informe podría estar refiriéndose a un incidente de 2014 donde su antivirus funcionó según lo previsto al marcar lo que parecía ser un código fuente de malware sospechoso de ecuación en una computadora personal. La compañía dijo que había eliminado los archivos de sus servidores, pero no pudo confirmar que el contratista de la NSA estuvo involucrado en el incidente.
Lo que Wardle decidió hacer fue averiguar si los productos de la compañía de seguridad con sede en Moscú pueden usarse para marcar y filtrar documentos clasificados. Logró modificar con éxito una firma para su producto de seguridad, a pesar del complejo proceso que Kaspersky emplea para actualizar y desplegar firmas de virus en las computadoras de los usuarios.
Y aunque hizo las modificaciones localmente, su experimento demostró que, de hecho, es posible abusar de los programas antivirus para espiar a los usuarios. Al modificar sus firmas, los programas antivirus pueden convertirse en las herramientas de "la colección perfecta de ciberespionaje perfecta". Y esto no es verdad solo sobre los productos de Kaspersky.
La capacidad de recopilación de archivos está, por supuesto, diseñada para admitir la funcionalidad legítima del producto. Por lo tanto, para que un producto antivirus se convierta en una herramienta de espionaje, tendrá que contar con un actor con intenciones maliciosas.
Los hallazgos del investigador no son sorprendentes y los propios Kaspersky dijeron la semana pasada que "cualquier actor malintencionado que obtenga acceso administrativo a una computadora podría teóricamente participar en la búsqueda de archivos en la computadora o subvertir casi cualquier aplicación que se ejecute en ella (que es el tipo de actividad).

SecurityWeek se comunicó con Kaspersky para obtener comentarios, pero nos redirigieron a la declaración de la semana pasada, diciendo que esa es su posición oficial.
Los expertos en seguridad contactados por SecurityWeek para conocer su punto de vista coinciden en que los productos antivirus podrían ser potencialmente utilizados con fines nefastos, si se tratase de un actor malicioso. Si bien el consenso general es que los usuarios ni siquiera sabrían si su antivirus los espiaba, eso no significa que las compañías antivirus participen en dichas prácticas. Solo que sería posible usar sus productos de tal manera.
Chris Morales, jefe de análisis de seguridad en Vectra Networks, con sede en San José, California, está de acuerdo en que los productos antivirus podrían manipularse para encontrar y filtrar documentos confidenciales. También acepta que este podría ser el acto de una persona malintencionada o dispuesta a infiltrarse en cualquier compañía de antivirus.
Chris Roberts, arquitecto jefe de seguridad de Acalvio, una firma de protección contra amenazas con sede en Santa Clara, California, dijo a Security Week que es un hecho conocido que "Kaspersky no es la única herramienta incorporada en las empresas para usar contra ellos mismos por la suerte de intento malicioso. "En los últimos años, se han revelado varias herramientas de detección de puntos terminales que tienen problemas de identificación de problemas e incluyen técnicas de gestión que pueden volverse contra las empresas.
También señala que la mayoría del software de seguridad requiere acceso a todo lo almacenado en una computadora, no solo a un solo producto. Por supuesto, no hay pruebas de que un programa antivirus se haya utilizado con fines maliciosos, aunque está claro que podrían usarse de esa manera. Como dice Wardle: "¡Por favor, evite saltar a la conclusión de que esto es algo que Kaspersky, o cualquier otra compañía antivirus realmente hizo!"
Kaspersky Lab ha negado continuamente cualquier vínculo inapropiado con los servicios de inteligencia rusos; y no hay evidencia pública que sugiera lo contrario. Desafortunadamente, para la empresa de seguridad con sede en Moscú, esto es resultado del efecto de la geopolítica en la ciberseguridad.