1

INVESTIGADORES DEL KASPERSKY LAB “CRACKEARON” FLAME

Dimitry Bestuzhev

Investigadores del Kaspersky Lab, han logrado desentrañar los secretos de Flame, CIO AMERICA LATINA hizo un reportaje a Dmitry Bestuzhev a pocas horas del hallazgo, antes de su anuncio oficial en la región

¿Qué novedades hay con respecto a Flame?

Realmente hay muchas. Pues, entre las más grandes podemos decir que a base del análisis de los protocolos de comunicación utilizados en el Flame hemos descubierto que en la naturaleza existen aun otros proyectos como Flame que en este momento no son detectadas, es decir que no se sabe nada de estos. Los códigos de estos “proyectos” son IP, SPE y SP. El proyecto más joven y por ende de seguro el más avanzado desde el punto de vista de los ataques es el “IP” sobre el cual no se sabe mucho en este momento.

Otra novedad es que a pesar de que la infraestructura de centros de comando y control del Flame está en el clásico LAMP de Linux, por la manera de llamar los archivos se puede ver que los desarrolladores del Flame son expertos en Windows pero no Linux.

Otra novedad es que en cuanto al Flame al menos hubo 4 desarrolladores que trabajaron juntos en 46 archivos de la infraestructura C&C del Flame. Tenemos sus iniciales! En el equipo de 4 desarrolladores hubo un líder que realmente estaba a cargo de algunos desarrollos gruesos como los patches específicos, algoritmos complejos y el cifrado utilizado.

Estas son tan solo algunas novedades sobre el último hallazgo del Flame.

¿Cómo se organizó el proyecto para “crackear” Flame?

Realmente durante la investigación preliminar con los CERT involucrados se vio que la contraseña del acceso al C&C era guardada en hash con cifrado del md5. Se intentó a romperla del lado de Symantec, algunos especialistas de Kaspersky y otros colaboradores pero no se pudo. En el momento que la información llegó a ser pública, me refiero al hash, traté de romperla también y felizmente pude hacerlo. Con esto ya tenemos la contraseña original lo que abre puertas a futuras investigaciones.

¿Qué  fue lo que encontraron?

En este momento al obtener la contraseña tenemos acceso a ciertas partes de la información de inteligencia. Pues, esta es como otra pista de buscar el origen del Flame. La contraseña puede ser utilizada para su análisis respecto a alguna relación lingüística, también se puede usar la misma para hacer análisis Web y análisis de todas las demás muestras malware y ver si es que la misma aparece en algún otro lado. Es decir, realmente no se sabe a dónde nos puede llevar esto pero es algo interesante.

Ahora que conocemos Flame al 100% ¿Qué lecciones nos deja?

Bueno, me gustaría decir que la primera es que cuando comenzamos a investigar Flame algunos “expertos” en seguridad informática hablaron en forma de burla en contra de nuestro análisis diciendo que lo que publicábamos era una exageración cuando ahora todo el mundo ve y sabe que esto no es así. La lección número 1 entonces es que hay que tomar las amenazas en serio y dejar por un lado las competencias de las marcas y de los supuestos prestigios. Esta última colaboración que tuvimos con una empresa de seguridad de EE.UU. pone en relieve la importancia de colaborar en el mundo de investigación! Solamente luchando juntos se puede hacer frente a las amenazas de alto nivel.

La segunda lección es que cuando hablamos de malware, ya no debemos pensar en los perjuicios económicos únicamente, como si se tratara de solamente crimen cibernético. En este momento hay varios jugadores que producen malware y debemos entender que las naciones y las potencias son uno de ellos. Hay que tomar muy a pecho las medidas de seguridad especialmente cuando se trata de proteger un país con sus infraestructuras críticas.

¿Qué importancia tiene conocer Flame totalmente antes que los cibercriminales?

Es vital ya que a base de los hallazgos de las técnicas empleadas se puede trabajar en los mecanismos de la seguridad proactiva que podría brindar seguridad necesaria al menos a nivel industrial contra los métodos y las técnicas utilizadas.

¿Cuál es su evaluación del ciberespionaje en la actualidad?

Es una realidad que está pasando de una forma silenciosa y oculta. Mientras que algunos proclaman que no existe, los que están detrás del ciberespionaje aprovechan el tiempo para avanzar y ganar las posiciones de líderes en el campo. Pues, cuando llegue el día en que se establezcan leyes y bases de control de la producción de las herramientas o armas cibernéticos, algunas naciones ya habrán ganado la guerra de líderes de desarrollo y uso por medio de la experiencia de dichas armas.

¿Considera que a partir de Flame, cambia en algo la industria de la seguridad?

Aun no pero debe cambiar. Pues, se debe trabajar con los productos de los sistemas industriales para ayudarles a desarrollar nuevos sistemas, conceptualmente diferentes donde la seguridad sería la base madre de todos los demás procesos.

¿Qué enseñanzas sumó su equipo en este proceso de investigación?

La colaboración es vital, no se puede y no se debe revelar los nombres de los socios que colaboran, en el momento de la colaboración se debe olvidar la política, la demografía y la sociología que existen en la vida real.

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.