Por Vasilios Hioureas.
Tenemos un dicho en Grecia: “Le asignaron al lobo vigilar las ovejas”.
En un contexto de seguridad, esta es una advertencia acerca de asegurarse de que las herramientas que utilizamos para mantener la privacidad de nuestra información no provoquen fugas de datos. En este artículo, hablaré de algunos casos que he encontrado en los que las herramientas de seguridad han filtrado los datos que pretendían proteger.
El problema VirusTotal
VirusTotal (VT) es un escáner múltiple en el que un investigador puede cargar cualquier archivo que crea sospechoso. Luego puede ver los resultados de muchos productos antivirus (AV) en cuanto a si el archivo se considera malware o no. Si bien este es un servicio asombroso que estoy seguro de que todos en el mundo de infosec usan regularmente, su uso debe ser cuidadosamente pensado.
Lo que algunas personas no se dan cuenta es que cada archivo que envía a VirusTotal se guarda en los servidores de VT y se puede buscar por completo. Al usar una herramienta de VT interna llamada Malware RetroHunting, los cazadores de malware tienen la capacidad de buscar texto y patrones binarios para encontrar malware similar a los que él puede estar analizando o rastreando.
Esta es una gran característica, pero como puede imaginar, al igual que alguien podría buscar [insertar una cadena maliciosa de su elección], también podría buscar fácilmente el “Número de cuenta:”, lo que podría resultar en una gran cantidad de documentos que contienen dichos datos. Es importante concientizar sobre este hecho para que las personas puedan usar esta herramienta adecuadamente sin arriesgar sus datos privados.
Pasaré por algunos casos que muestran el uso indebido de VirusTotal para que sirva de advertencia a los usuarios que podrían estar pensando en usar herramientas de segunda clase/no oficiales o adoptar prácticas basadas en VT.
Caso 1: El argumento no AV
Con demasiada frecuencia escucho a las personas decir algo como esto: “No necesito un antivirus. Envío archivos a VT gratis cuando parecen sospechosos “.
Creo que debería ser bastante obvio por qué este método es defectuoso. Si envía todos los documentos que recibe a VT, corre el riesgo de filtrar información privada, como se indicó anteriormente. Ahora, si excluye el escaneo de documentos de direcciones “confiables” específicas (para no filtrar datos confidenciales), entonces corre el riesgo de que obtener un malware suplantado de un contacto falso. No hace falta decir que esta no es una forma segura de mantenerse protegido.
Caso 2: uso de API
El uso de VirusTotal API también puede ser peligroso. Los errores en el código o la lógica pueden provocar fácilmente una carga masiva de archivos privados. Esto es un peligro si está creando sus propias herramientas o utilizando herramientas como WINJA, que automatizan el envío de archivos a VT. La única recomendación aquí es asegurarse de que las herramientas que está utilizando tengan buena reputación o que haya realizado sus propias auditorías de código independientes para asegurarse de que ningún error pueda provocar una fuga de datos.
Cuando se trata de utilizar otras herramientas de seguridad de buena reputación, es aconsejable leer toda la documentación y asegurarse de que comprende cómo y cuándo la herramienta incorporará VT.
Caso 3: Servicio de escaneo de email VT
Desafortunadamente, he visto muchos artículos y publicaciones en foros en línea donde las personas han estado aconsejando el uso del servicio de escaneo de adjuntos VT. Básicamente, al enviar un archivo adjunto de correo electrónico a scan@virustotal.com, el remitente puede recibir una respuesta sobre lo que VT encontró con respecto al archivo adjunto.
No siga estos consejos a menos que esté seguro de que el documento que está escaneando no contiene datos privados. Es un juego arriesgado. Si le preocupa que los documentos maliciosos infecten su computadora, entonces la conclusión lógica sería comprar un antivirus con una buena reputación y la tecnología para bloquear documentos maliciosos.
Si elige enviar todos sus correos electrónicos potencialmente privados a VT, con capacidad de búsqueda para cualquiera, entonces esencialmente está deshaciendo cualquier beneficio potencial de seguridad o privacidad exponiendo todos sus datos de todos modos. ¿Qué daño hará un spyware cuando ya ha enviado sus datos confidenciales a una base de datos pública?
Problema de archivos EXE
El siguiente caso del que quiero hablar, aunque menos sensible, es mucho más probable que se pase por alto.
En un entorno corporativo, no podemos confiar en que todos envíen manualmente archivos adjuntos o archivos a los ingenieros de seguridad; todo esto está automatizado. Desde mi experiencia pasada y al hablar con colegas ingenieros de seguridad, he visto que es bastante común que todos los ejecutables que ingresan a una red corporativa se escaneen automáticamente con varios complementos vinculados a una plataforma determinada. Resaltaré Carbon Black, un programa antivirus empresarial, en este caso, aunque muchos otros proveedores de seguridad también tienen este problema.
Cuando un nuevo exe se abre camino en una red, Carbon Black lo almacena, pero también tiene la capacidad de hacer una referencia cruzada del archivo dado con varios complementos y herramientas que están incorporados o agregados a la plataforma. Por ejemplo, puede hacer click en una burbuja en cualquier archivo de su red, lo que le dará sus resultados contra la zona de pruebas rápidamente. Y, por supuesto, el tema que ha recibido tanto calor en los medios este año: el plugin VT.
Ahora, si bien han solucionado los problemas en el envío de documentos para evitar la filtración de datos, todavía envían exes. Pero espera, ¿y qué? ¿No es eso exactamente lo que queremos que haga?
Correcto, lo es. La automatización es lo que todas las empresas buscan en su infraestructura de seguridad. No hay nada malo con la idea raíz de enviar y escanear los exes que fluyen a través de la red. Sin embargo, la automatización a veces viene con una compensación si no se planifica adecuadamente.
He evaluado la infraestructura de seguridad de muchas redes corporativas y en estas evaluaciones, he visto que en este intento de escanear todos los nuevos exes en busca de malware, los ejecutables internos de la compañía también terminan siendo escaneados.
Así que ahora, sin saberlo, los exes confidenciales están siendo expuestos y filtrando datos y propiedad intelectual más sensibles. Además, piense por un momento en cómo los desarrolladores de software suelen codificar. Mientras que están probando la funcionalidad, es común que un desarrollador codifique algunas credenciales, rutas u otra información reveladora para una compilación de prueba. Claro, una vez que hayan terminado, para la compilación de producción, es probable que se modifique para ocultar esta información y hacerla dinámica, pero mientras tanto, estas compilaciones de demostración han sido recogidas por el EDR y escaneadas a través de varios complementos.
Nuevamente, esto no es un problema con el EDR en sí, es un problema con su implementación, es responsabilidad exclusiva del cliente que utiliza el software.
Remediación y prevención.
Ahora, esto no significa que debamos abandonar el uso de herramientas de seguridad por temor a fugas de datos; simplemente significa que necesitamos hacer algunos ajustes. Entonces, ¿qué puede hacer una empresa para protegerse contra la filtración de sus propios datos al público?
Existen muchas opciones que dependerán de los requisitos de cumplimiento y las necesidades de una empresa determinada, pero tengo algunas consideraciones básicas que recomiendo.
Segmentación basada en reglas
En lugar de tener una automatización general en la que todo se escanea automáticamente, siempre recomiendo segmentar las acciones tomadas cuando el EDR ve un nuevo archivo basado en grupos de usuarios. Por ejemplo, tal vez los usuarios del grupo de desarrolladores no tengan sus archivos binarios que residen en un directorio específico enviado para su escaneo automático.
Sin embargo, es más fácil decirlo que hacerlo porque simplemente habilitar este tipo de regla puede ser catastrófico y, esencialmente, puede permitir que un desarrollador desarrolle malware en secreto. Es por eso que, cuando se relaja una regla de seguridad para un usuario determinado, se debe aumentar otra regla para compensarla. Así que en este escenario teórico, acabamos de darle a un desarrollador un pase gratis para que no se escaneen sus ejecutables. Así que hemos cerrado una puerta pero hemos abierto otra.
Para compensar esto, un pensamiento podría ser mantener una vigilancia profunda sobre las IP y los puertos con los que las máquinas de desarrollo pueden comunicarse. Si el desarrollador necesita comunicarse con una IP específica para su software, debe obtener la aprobación previa de los ingenieros de seguridad. En este punto, podemos dejar que el desarrollador siga adelante y crear malware, pero si se ve su dirección MAC o IP intentando comunicarse con una IP no aprobada previamente o sobre un puerto no aprobado previamente, dispare las alertas. Este tipo de regla es trivial de crear utilizando una buena plataforma EDR.
Los roles y el comportamiento esperado de la máquina de un empleado determinado deben entenderse completamente de antemano para poder mantener un control adecuado sobre una red.
Entiende las herramientas que usas
Es importante entender que las herramientas de seguridad están hechas para uso genérico. Los creadores no saben específicamente qué hace su empresa y cuáles son sus políticas de privacidad. No saben si desarrollará su propio software en el sitio o si simplemente está utilizando la herramienta para escanear los archivos descargados.
Dicho esto, depende de usted, el usuario o el ingeniero de seguridad a cargo de la evaluación, asegurarse de que comprende todas las funciones y opciones que le brinda una herramienta.
Un desarrollador que crea una herramienta para escanear archivos adjuntos de correo electrónico automáticamente con VT no necesariamente está actuando maliciosamente. Para algunos usuarios, tal vez un usuario que específicamente no crea y almacena información en documentos, esta podría ser la mejor herramienta del mundo, exactamente lo que necesitan para automatizar sus operaciones. Para otra compañía que envía sus contratos en forma de documentos de Word, esto podría ser catastrófico. Al final del día, no se puede atribuir la responsabilidad a la herramienta que se comportó exactamente como se anuncia. Depende del usuario hacer su propia investigación y comprender qué hace la herramienta y cómo afectará la privacidad y la seguridad.