[HACK] Entrevista Joanna Rutkowska

[merce]

21/06/07 17:12:39


JOANNA RUTKOWSKA: "NO PODEMOS PROTEGER A LA GENTE DE SU ESTUPIDEZ"


Mercè Molist
A los 14 años escribió su primer virus. A los 27, estudia cómo
detenerlos. Joanna Rutkowska es polaca, experta en código malicioso
y musa de la comunidad de seguridad informática. La intriga saber si
en España todos hacen la siesta: "Yo sí, cuando investigo algo
complicado, y al despertar sé cómo resolverlo".


-¿Cuál es el estado del arte en el código malicioso?

-Desgraciadamente, es más fácil crearlo que detectarlo. Las técnicas
de los chicos malos están por delante de las nuestras.

-¿Los chicos malos le han pedido alguna vez sus conocimientos?

-Acabo de crear mi propia empresa, Invisible Things, y entre otras
cosas hacemos cursos. No sé si mis clientes son criminales o no.

-Cada vez hay más complejidad y delincuencia en el código malicioso.
¿Qué podemos hacer?

-Por una parte está el factor humano y, por otra, el tecnológico. La
mayoría de ataques explotan el factor humano, la estupidez de los
usuarios. No podemos proteger totalmente a usuarios estúpidos.

-¿Y el tecnológico?

-La tecnología suele tener fallos y hay ataques que no precisan de
la intervención del usuario. Un ejemplo, que da miedo, es que sólo
con tener la tarjeta inalámbrica de tu portátil funcionando, sin
conectarte, alguien puede aprovechar un agujero del controlador y
tomar el control de tu máquina.

-¿Cómo defendernos?

-Escribiendo programas sin fallos, con mejores controles de calidad
y educando a los desarrolladores para que hagan programas seguros.

-¿Es posible?

-El sistema BSD tiene muchos entusiastas auditando manualmente el
código. Pero, aún así, de vez en cuando se encuentran agujeros, a
veces después de unos años. Por tanto, no es posible crear código
100% seguro.

-¿Y entonces?

-Otra propuesta es diseñar el sistema operativo de tal forma que,
aunque alguien pueda explotar un fallo, el sistema limite el alcance
del ataque. Por ejemplo, con arquitecturas de micronúcleo.

-¿Lo qué?

-Windows, Linux o Mac OS tienen grandes núcleos monolíticos, con
millones de líneas de código donde no es raro que haya agujeros, y
todo está allí. El micronúcleo es un núcleo diminuto que hace unas
pocas funciones básicas y el resto funciona en procesos aislados.
Así, un ataque al núcleo no afecta a todo el sistema. El problema es
que es un cambio drástico, pero el futuro va por aquí.

-¿Y mientras tanto?

-Se están añadiendo herramientas especiales. Por ejemplo hacer que,
cada vez que se pone en marcha el ordenador, los procesos estén en
sitios diferentes. Así, el atacante no sabe dónde están las cosas.

-¿Y los antivirus?

-No son más que parches. Se basan en bases de datos con miles de
"firmas" de código malicioso y, por cada archivo que entra,
comprueban si coincide con alguna "firma". ¡Es un enfoque tan
equivocado! No funciona contra nuevos ataques.

-¿Cómo deberían funcionar?

-Con un diseño seguro de los sistemas operativos y tecnologías
anti-ataques, los antivirus desaparecerían. Pero, en realidad, no se
dirigen al factor tecnológico sino al humano, avisando al usuario
para que no abra tal adjunto. En la siguiente generación, cuando el
humano esté educado, será diferente.


Invisible Things
http://invisiblethings.org



Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.


[N.A: La entrevista es bastante mas larga. Intentare ver si la
publico entera. Estuvimos mas de una hora hablando y porque la
cortaba, que si no estamos 3 tranquilamente.

Hablamos bastante rato de bluepill, que precisamente ahora vuelve a
ser noticia: http://www.kriptopolis.org/rutkowska-jaqueada. Entonces
 yo no conocia esta informacion, por lo que no la comentamos, pero
si hablamos sobre si era o no posible detectarlo:

"Por definición bluepill no modifica la memoria, por tanto es 100%
indetectable si consideras la detección por escaneo de la memoria.
¿Cómo lo detectaríamos? Por ejemplo con un análisis de tiempo,
porque cuando tienes un sistema funcionando en una máquina virtual,
algunos eventos tardan más. Pero sería difícil aplicar esta forma de
deteccion a un antivirus comercial, porque primero necesita una
fuente temporal confiable. Si sólo usas el reloj del ordenador,
bluepill puede engañar al reloj. Por tanto necesitarías una red
especial, cifrada, que se comunicase con un servidor de Internet y
le diese el tiempo. Y esto no es muy práctico."

"Algunos fallos en el procesador podrían permitirnos detectar que se
está ejecutando una máquina virtual. Pero no podemos crear productos
de seguridad basados en fallos. La detección debe basarse en
tecnología documentada. Por tanto, en algunos casos podemos
detectarlo, pero en la practica y hoy por hoy no podemos crear
ninguna herramienta practica para ello."

(Tambien hablamos de chicos-hackers, pero eso no lo grabe ;)

]


M&M
--
We're all pioneers,
and we're all surrounded by heroes.

Joe Barr