Hace unos días tuve la suerte de asistir a un centro de desarrollo de Intel en Córdoba, y me llevé una gran sorpresa al saber que también están metidos, en cierta forma, en proyectos de seguridad.

Quizás peco de inculto, pero bueno… me sorprendió, y ahora lo hacen más con este enfoque renovado, pero aún así interesante, llamado Proteus… que tiene como fin mitigar las portátiles Zombies, por medio del análisis de comportamiento del usuario.

Hasta el momento, muchos de los enfoques de seguridad contra las computadoras Zombies (esclavas de redes de Bots), eran aplicados directamente a los Routers, y no a las máquinas cliente de una red.

Esto se debe, más que nada, al miedo de que los sistemas de seguridad sean un problema adicional en la performance del ordenador en sí, por lo cual se suelen usar sistemas más sencillos -y empaquetados- como ser un antivirus, un cortafuegos, y alguna que otra medida de seguridad adicional.

En la visita a Intel que comento al inicio, también me enteré de que cada empleado de la empresa recibe una portátil lista para trabajar, la cual puede salir de las instalaciones, si el sujeto en cuestión lo necesitase.

Este pequeño agregado de sacar el portátil de la empresa, presenta varios riesgos…

  • el más común, que la portátil se dañe… aunque esto puede suceder adentro de la empresa también, por lo que no habría siquiera que tomarlo en cuenta;
  • el más extremo, que un sujeto no autorizado, haga uso de dicha portátil, y logre ingresar a servidores con datos confidenciales de la empresa… o bien, instale un virus dentro del sistema…

Este último punto, si bien muy montado de película de Hollywood, no es muy lejano a la realidad. Ya se han visto decenas de casos en donde se pierde una portátil, y con ello se pierden registros que iban dentro de ella, como también se duda (aunque muchas veces no se hace público) que quienes hayan obtenido la portátil, puedan haber accedido a más información dentro de los servidores central… (suena muy de película? es realidad pura…).

El enfoque de Proteus, apunta a analizar los comportamientos de los sujetos que hacen uso de dichas portátiles (le viene muy bien a Intel, si volvemos al hecho de que sus empleados reciben una para poder hacer sus tareas), tanto dentro como fuera de la empresa (en casa, por ejemplo).

Los paquetes de seguridad usados actualmente (no los instalados en las portátiles, sino en los servidores de acceso/control), trabajan por medio de reglas que no toman en cuenta los distintos patrones de uso de cada usuario, y normalmente producen falsos positivos, o bien, se tragan ataques sin siquiera darse cuenta. Por ejemplo, si un usuario reenvía de forma masiva un archivo de gran tamaño, podría hacer saltar las medidas de protección (siendo que el uso es legítimo); mientras que un portátil esclavo podría tener una interacción de bajo perfil, y pasar desapercibido de forma indefinida dentro de las redes de la empresa (más ahora, cuando hay muchos ataques enfocados en determinadas empresas, y no de forma genérica como se hacía en el pasado).

Por otro lado, Nina Taft, de Intel Research Berkeley, asegura que las empresas instalan paquetes armados de software de forma homogénea en cada sistema, por lo cual… si un intruso consigue acceso a una portátil, tranquilamente puede hacerlo de la misma forma con cualquier otra portátil de cualquier otro empleado (siempre y cuando, se cumpla la primera premisa).

Proteus, el proyecto de seguridad de Intel, tiene un enfoque que apunta al comportamiento del usuario (o los usuarios) incluyendo dentro de dicho patrón, los momentos del día (ya que según Taft, luego de un estudio se dieron cuenta de que el mismo cambia respecto a la ubicación, hogar o empresa, y horario).

Entre los algoritmos de Proteus, están los siguientes:

  1. El primer algoritmo, utiliza técnicas de aprendizaje y estadísticas, para vigilar el uso de Internet del sujeto, creando patrones de tráfico individualizados (igualar este comportamiento, podría ser fácil, pero limitaría el potencial de una máquina esclava en portátiles con poca actividad registrada… es decir, no sería -rentable- para la Botnet).
  2. El segundo algoritmo, toma en cuenta las diferencias en el uso de Internet de los sujetos, en distintos momentos del día (esto limitaría en gran parte el potencial de la máquina, dado que debería la Botnet en cuestión dejaría de dar órdenes, y debería adecuarse a los tiempos del esclavo).
  3. El tercer algoritmo, analiza los comportamientos en relación a las comunicaciones de la portátil hacia y desde las otras máquinas en la red/Internet (esto pondría en evidencia las comunicaciones sincronizadas con la máquina maestra, por lo que se deberían agregar formas de hacer aleatorio este valor… perdiendo potencial a la hora de coordinar grandes grupos de máquinas).

De esta forma, el atacante deberá superar estas tres pruebas, pero no rompiéndolas, sino imitando el comportamiento del usuario en dicha portátil.

De momento, Taft se muestra con dudas sobre como podría afectar este tipo de protecciones a la performance de una portátil… aunque, dado que su empresa lo puede, tranquilamente podrían ver la posibilidad de incluirlo dentro del Hardware, haciendo mucho más complicado el proceso de alterar dicho control de seguridad.

Tendremos que estar atentos para ver si el proyecto realmente termina convirtiéndose en una realidad para las empresas… que hasta el momento se encuentran algo desorientadas (o felices con su ignorancia, sin ofender) en cuanto a temas de seguridad.

Fuente: Technology Review