ESET es el primer proveedor de seguridad para endpoints en añadir a sus productos la posibilidad de analizar el firmware de un computador. Habiendo pasado más de un año desde el lanzamiento del módulo UEFI Scanner de ESET, lanzado en octubre de 2017, ESET sigue siendo el único gran proveedor de seguridad que brinda esta capa de seguridad a sus clientes en su nivel estándar de producto.
Ya transcurrido su primer año, veamos los beneficios de la tecnología de ESET UEFI Scanner, y aclaremos algunas cuestiones que la rodean.
Nos reunimos con Roman Kováč, Chief Research Officer de ESET, y le hicimos algunas preguntas.
Además de leer la entrevista, podrías estar interesado en conocer más acerca de UEFI y otras cuestiones de seguridad relacionadas, presentes en artículos previamente publicados y otros que se publicarán en WeLiveSecurity.
Es sabido que ESET sigue siendo el único gran proveedor de seguridad endpoint cuya solución puede analizar el firmware de un computador. ¿Cómo es posible que otros no lo hayan adoptado?
No puedo responder por completo a la pregunta porque no puedo hablar por nuestros competidores. Pero entiendo hacia dónde vas – pues, podría parecer que estamos desperdiciando recursos desarrollando un nicho con la funcionalidad que muchos otros pueden no considerar importante.
Sin embargo, en relación a la pregunta implícita, debo explicar por qué consideramos esencial que los usuarios tengan su firmware asegurado.
La razón es que las consecuencias de comprometer el firmware de un computador son extremadamente peligrosas. Por definición, si los atacantes pueden controlar qué procesos se lanzan – y cómo – cuando un computador se inicia tendrán control total de él. Además de ser un medio sumamente peligroso para implementar ciberataques, las modificaciones de firmware son difíciles de detectar y capaces de sobrevivir a medidas de seguridad severas, como la reinstalación del sistema operativo o incluso un intercambio del disco duro.
Sí, son hechos conocidos. Pero incluso así, estos ataques son bastante extraños, ¿verdad?
Deja que te recuerde uno de los principios básicos de la gestión de riesgo: el riesgo es una función tanto del costo de un suceso como de su probabilidad. Por lo cual incluso ataques que son raros pueden representar un riesgo relativamente alto si su impacto es sustancial – que es el caso aquí.
Y en cuanto a la probabilidad, las cosas se vuelven complicadas cuando observas los detalles. Piensa en los ciberataques dirigidos a grandes objetivos: sí, la probabilidad de que el usuario promedio esté en la mira de un grupo APT avanzado, es casi nula. Pero, naturalmente, entre nuestros clientes hay también algunos a los que regularmente apuntan los grupos APT.
Lo que quiero decir es que la probabilidad de ser atacado varía de acuerdo al tipo de víctimas potenciales. Y cuando se trata de grupos APT, esos atacantes sofisticados muestran una mayor tendencia a utilizar armas cibernéticas novedosas, nunca antes vistas.
¿Cuáles son los posibles escenarios de ataque de este tipo?
El firmware de un computador puede modificarse de manera tal que su seguridad y funcionalidad se vean comprometidas. Hay ciertas maneras de lograr esto.
La primera opción, la más común, es que tu proveedor haya implementado algunas modificaciones en el firmware, por ejemplo, habilitar los diagnósticos o mantenimientos remotos. En principio, no hay nada de malo con las modificaciones, incluso si el servicio es provisto por un tercero – siempre y cuando el cliente este A. al tanto de ello, B. no contenga vulnerabilidades que puedan ser usadas de forma errónea y C. El dueño del dispositivo pueda deshabilitarlo completamente.
Otra posibilidad es el acceso malicioso, manual, cuando el atacante tiene acceso directo al dispositivo. Esto puede ocurrir durante una entrega, en un local de reparaciones, o ser llevado a cabo por alguien dentro de tu organización con intenciones maliciosas, o un intruso que rompa los límites de protección.
La tercera opción es un ataque remoto hacienda uso de malware y varias herramientas para modificar el firmware.
Entonces, ¿se conoce la existencia de dichas herramientas?
Estas en lo cierto. La compañía Hacking Team, proveedora de herramientas de intrusión ofensiva, ya ha demostrado su habilidad para modificar el firmware de sus objetivos, según fue alegado cuando este dudoso proveedor fue atacado, y sus documentos confidenciales filtrados al público. Además, un rootkit de UEFI estaba entre las herramientas que fueron reveladas al público por WikiLeaks, probando que las afirmaciones hechas en los documentos de Hacking Team eran, de hecho, reales. También, algunas pruebas de concepto del rootkit de UEFI fueron presentadas en varias conferencias.
Pero aun así, los rootkits de UEFI no pueden ser considerados amenazas reales ya que ninguno ha sido visto “in the wild”…
Pues, desde este verano, eso ya no es verdad. Hemos descubierto una campaña que utiliza un rootkit de UEFI, y presentamos dicha investigación en la conferencia BlueHat en Redmond, Washington, en Estados Unidos. También están publicados en WeLiveSecurity.
En cuanto al UEFI Scanner, el simple hecho de que semejante rootkit haya sido detectado in the wild, muestra claramente que la habilidad de analizar el firmware del computador, y no solo su memoria o discos, es esencial.
¿Puedes contarnos cómo funciona esta capa de protección?
Hemos recibido miles de reportes de detecciones del módulo UEFI Scanner, y eso proviene únicamente de usuarios que tienen habilitada la funcionalidad para reportar. En su mayoría se trata de Aplicaciones Potencialmente No Deseadas.
No deseadas, pero solo potencialmente – suena como si la mayoría de sus detecciones fueran falsas alarmas…
Pues, si examinas una aplicación detectada como potencialmente no deseada, y hallas que es legítima, esto por sí solo no significa que tu detección fue una falsa alarma.
Para entender qué es una Aplicación Potencialmente No Deseada, imagina una situación en la que un escáner corporal indica que la persona que está siendo registrada lleva un arma. Si sucede que dicha persona es un miembro de tu equipo de seguridad – ¿llamarías a la señal del escáner una falsa alarma?
Creo que este ejemplo ilustra correctamente lo que llamamos Aplicación Potencialmente No Deseada. Sueles ser aplicaciones legítimas, pero si están ejecutándose en tu PC o en el sistema de tu compañía sin tu conocimiento o consentimiento, podrían significar un riesgo. Por cierto, el caso del escáner corporal puede también ayudarme a explicar por qué la tecnología de análisis del firmware en nuestros productos es una capa importante de protección. Vuelve a imaginar un escáner corporal en el ingreso de alguna institución importante. Si tal escáner solo emite una alerta de vez en cuando - ¿significa eso que no hay necesidad de registrar si quienes ingresan llevan armas consigo?
Para concluir, nos enorgullece nuestra tecnología de análisis de firmware, el módulo ESET UEFI Scanner, y lo consideramos una parte vital de nuestras soluciones de seguridad.