TAGS
De septiembre de 2013 es el mes en el que la extensión de la piratería directa del gobierno - a diferencia de la vigilancia del tráfico - se dio a conocer.
4 de Septiembre - WikiLeaks libera espía Archivos 3, lo que demuestra el aumento de uso de herramientas de hacking de terceros, tales como FinFisher.
6 de Septiembre - Bruce Schneier escribe en The Guardian
La NSA también dedica recursos considerables para atacar equipos de los usuarios. Este tipo de cosas se hace por su TAO - Tailored operaciones de acceso - grupo. TAO tiene un menú de exploits que puede servir en contra de su equipo - si se está utilizando Windows, Mac OS, Linux, iOS, o alguna otra cosa - y una variedad de trucos para conseguir que en su equipo. Su software anti-virus no detectará, y que tendría problemas para encontrar ellos incluso si sabía dónde buscar. Se trata de herramientas de hackers diseñado por los hackers con un presupuesto esencialmente ilimitado. Lo que me llevó lejos de la lectura de los documentos de Snowden fue que si la NSA quiere en su equipo, que se encuentra. Período.
7 de septiembre - detalles de una operación NSA MITM contra los usuarios de Google en Brasil reveló.
12 de Septiembre - FBI admite que hackeado Libertad de alojamiento. Las implicaciones son que inserta el malware que supervisa los visitantes, y la casi certeza de que el malware fue CIPAV.
FinFisher y CIPAV destacan como gobierno operó software espía; pero hay otros: RCS (Da Vinci), Bundestrojaner etcétera - y, por supuesto, Stuxnet y Flame. Hemos sabido de ellos desde hace mucho tiempo: ver
Esto deja un importante mendicidad pregunta: si hemos sabido de este malware durante mucho tiempo, ¿cómo es que todavía se puede utilizar? ¿Por qué no se detiene el software anti-malware que?
Hay dos posibles razones por las que vamos a explorar:
En la cama con la NSA Esto se ha negado vehementemente por todas las compañías de AV He hablado con (vea los artículos sobre CIPAV y RCS para ejemplos). Bruce Schneier no cree que es:
De hecho, creo que AV es menos probable que se vea comprometida, porque hay diferentes empresas en los países antagónicos que compiten entre sí en el mercado. Mientras que los EE.UU. podría ser capaz de convencer a Symantec para ignorar su secreto de malware, no serían capaces de convencer a la empresa rusa Kaspersky para hacer lo mismo. Y del mismo modo, Kaspersky podría estar convencido de ignorar el malware de Symantec ruso, pero no lo haría. Estas diferencias son propensos a aparecer en las comparaciones de productos, lo que da a ambas compañías un incentivo para ser honesto. Pero no lo sé.
Y sin embargo, la posibilidad perdura. Cuando la llama fue "descubierto", Mikko Hypponen emitió un mea culpa por la industria. Admitiendo que F-Secure tenía muestras de llama en el registro durante dos años, dijo,
Los investigadores de otras firmas de antivirus han encontrado evidencia de que recibieron muestras del malware, incluso antes de esto, lo que indica que el malware era mayor que 2010. Lo que esto significa es que todos habíamos perdido la detección de este malware durante dos años, o más. Eso es un fracaso espectacular para nuestra empresa y para la industria antivirus en general. No era la primera vez que esto ha sucedido, tampoco. Stuxnet fue detectado durante más de un año después de que se desató en la naturaleza ...
Olvídese de la 'mano en el corazón' por un momento, y considerar ... Esos son los dos principales muestras de malware conocidos patrocinados por el gobierno sobre e ignoradas por múltiples compañías AV durante varios años. ¿Coincidencia? Tal vez. Pero hacerse eco de la última frase de Schneier, no lo sé.
Los creadores de malware están un paso por delante de la industria AV Si escuchas a los vendedores de AV, esto no puede ser verdad. Cada mes oímos afirmaciones de que los productos AV dejan de 99,9% a 100% de todos los virus conocidos (recordemos que 'sabían' sobre Stuxnet y Flame, pero no hicieron nada). He escrito en mi consternación por este tipo de publicidad en otros lugares (por ejemplo,).
Sin embargo, si usted escucha a los investigadores pie soldado - y, a veces incluso superior -dentro de las empresas en particular, se da cuenta de que es absolutamente, inherentemente, e inevitablemente cierto. Luis Corrons, director técnico de, lo expresa así:
La eficacia de cualquier muestra de malware es directamente proporcional a los recursos gastados. Cuando hablamos de ataques dirigidos (y [CIPAV y FinFisher] son desarrollados para llevar a cabo ataques dirigidos) la parte más importante es la capacidad de ser detectados. Sin pasar por detección de firmas es trivial, aunque es casi inútil también, como la mayoría de los programas anti-malware tienen varias capas diferentes de protección que no se basan en las firmas. Los atacantes probablemente sabe cuál es la solución (s) de seguridad de la víctima potencial está utilizando. Entonces es tan "simple" como replicar el mismo escenario (sistema operativo, solución de seguridad, etc.) y verificar que no se detecta el malware. Tan pronto como se marca que la cambiarán para evitar la detección, hasta que tengan la versión final. Una vez que se hacen, van a infectar a la víctima y se espiar / robo de información de él hasta que se detectan. Esto podría ser una cuestión de días, meses o incluso años.
Claudio Guarnieri de dicho muy similar:
Desde FinFisher, al igual que cualquier otro software espía comercial, es un malware muy específica y sofisticada (además de caro), que es parte del ciclo de vida de desarrollo de Gamma para asegurarse de que ajustados todos los diferentes componentes para evitar los antivirus antes de enviar la nueva FinFisher a los clientes . Los desarrolladores probablemente tienen sus propios sistemas internos para hacer estos testeos: pensar en algo como VirusTotal privado. Cada vez que ellos desarrollan una nueva función o una nueva versión, se probará contra el mayor número posible de los antivirus y si algo se ha detectado, que depurar y tratar de entender por qué y encontrar una manera de evitarlo. El "problema" con este enfoque es que se basan en la industria audiovisual no saber y no tener acceso a sus programas maliciosos: cada vez que eso ocurre fabricantes antivirus reaccionan de manera muy efectiva y, de hecho, si nos fijamos en las muestras FinFisher descubrieron hace más de 1 año están ahora en gran parte detectado por la mayoría de los productos antivirus.
Conclusión Es la industria audiovisual en la cama con la NSA? El simple hecho es que simplemente no lo sabemos. La propia industria lo niega - pero, bueno, lo haría, ¿verdad? Estadísticamente, ya que casi todos los demás aspectos de la industria de la seguridad colabora o ha sido subvertido por la NSA, mi sospecha es que se trata. Por lo menos, sospecho que se dedica a la "connivencia tácita '.
Son los desarrolladores de malware un paso por delante de la industria AV? Eso depende. Como dice Corrons, que depende de los recursos disponibles para los malos, ya sea NSA, FBI, el GCHQ o la Russian Business Network. malos con recursos bien siempre van a entrar. Como Schneier dice, "si la NSA quiere en su equipo, que se encuentra. Período." Pero eso probablemente se aplica a todos los gobiernos y todas las bandas criminales seriamente organizadas dedicadas a la piratería informática específica.
Sin embargo, un comentario final: nada de lo dicho aquí se debe tomar para sugerir que no necesitamos la industria audiovisual. Puede que no sea capaz de detener la NSA, pero puede y se detiene un millón de secuencias de comandos a los piratas informáticos para niños aspirantes a todos los días.
ver también:
.
