Pierre-Marc Bureau: "Las botnet grandes tienden a desaparecer"

Empezamos con esta, una serie de post donde mes a mes iremos publicando entrevistas a los principales investigadores y equipo de Laboratorio de ESET a nivel mundial. Día a día pueden leer el trabajo que realizamos en Investigación y Educación en Latinoamérica, pero una vez al mes podrán conocer qué hace el equipo de ESET a lo largo del mundo. Aquí vamos con nuestra primer entrevista…

    Pierre-Marc Bureau 

  • Nombre: Pierre-Marc Bureau
  • Puesto: Senior Researcher. Pierre-Marc trabaja relacionado con el Laboratorio de ESET, pero no en el trabajo de agregar firmas para detección de malware, sino en la investigación necesaria para sostener y mejorar la calidad de nuestros productos. La mayoría de su trabajo está relacionado a la búsqueda y análisis de nuevos códigos maliciosos, y al análisis de las tendencias, según sus conocimientos en el campo.
  • Más información: Pierre-Marc ha trabajado durante cuatro años en ESET. Anteriormente, realizó un master en la Escuela Politécnica de Montreal (École Polytechnique de Montréal), sobre análisis de malware. Además de hablar fluidamente el inglés y el francés, también estudia otros varios idiomas, entre ellos el español. En sus tiempos libres, disfruta de competiciones tipo “Capture The Flag” y también de escalar.
  • En la última edición de Virus Bulletin 2010, Pierre-Marc Bureau obtuvo el premio al “best newcomer to the anti-malware industry“, algo así como un premio revelación, pero por los últimos diez años en la industria.

Describí tu investigación sobre redes botnet y Waledac.

Hace un tiempo, los graduados del Politécnico fuimos encargados para analizar y hacer Ingeniería Inversa a un código malicioso para comprender el uso que este hacía del protocolo peer-to-peer. Finalmente, encontramos vulnerabilidades en el protocolo que fueron detalladas en el paper final. Con nuestro conocimiento profundo sobre Waledac, decidimos crear una botnet de Waledac en un entorno controlado. Nuestros objetivos eran:

  1. Mostrar que es posible estudiar redes botnet en entornos controlados.
  2. Mostrar que es posible realizar experimentos con redes botnet que sean confiables y reproducibles.
  3. Estudiar las debilidades en el protocolo peer-to-peer de Waledac y la efectividad de los ataques contra él.

Para hacer esto, usamos un cluster de computadoras con 100 blades. Era posible ejecutar 30 maquinas virtuales (usando VMWare) en cada blade, por lo que contábamos con una botnet de 3000 nodos. Luego, creamos una infraestructura similar a la que usaba Waledac, para correr nuestros propios experimentos. Para medir el rendimiento de la botnet, contamos el número de mensajes de spam que era posible enviar a los sistema ejecutando el comando pertinente desde los servidores de control. También medimos los recursos necesarios para ejecutar el ataque, dependiendo del número de nodos que serían atacados. El experimento fue desafiante por muchos motivos: primero, porque manejar un cluster de ese tamaño no es fácil, y segundo porque hubo que tomar muchas medidas de seguridad para asegurar que nuestro experimento no dañe a nadie (esto por momentos hizo más lento nuestro trabajo).

¿Cuáles fueron las principales conclusiones de la investigación?

Aprendimos algunas cosas diversas:

  • Algunas de las deficiencias en el protocolo de control fueron realizadas intencionalmente por su creador para mejorar el rendimiento de los servidores de comando y control.
  • Aprendimos cómo ejecutar experimentos de Waledac a gran escala, en un entorno controlado, lo cual no es una tarea sencilla.
  • Pudimos documentar el rendimiento de ataques contra la infraestructura de Waledac, algo que no se podría haber realizado sobre sus servidores reales In-the-Wild.

¿Cuáles son, en tu opinión, las próximas tecnologías e innovaciones en lo que respecta a redes botnet?

Creo que las grandes redes botnet tienden a desaparecer, y serán reemplazadas por redes más pequeñas, operadas por actores locales. Ya estamos viendo eta tendencia con Zeus, que tiene miles de botnet en todo el mundo, operadas por personas de cada región. El conocimiento técnico de los creadores de malware seguirá siendo variante: seguiremos observando amenazas técnicamente avanzadas como Stuxnet o Conficker, pero también veremos botnet de “bajo nivel técnico” administradas por personas con los conocimientos suficientes como para operarlas y obtener dinero de ellas.

Es difícil predecir cuáles serán las nuevas tecnologías que utilizarán las botnet, pero en mi opinión veremos nuevos desarrollos en cuanto a la criptografía y los algoritmos peer-to-peer utilizados para optimizar los mecanismos de comunicación.

¿Cuáles son las principales ideas respecto a trabajar en Ingeniería Inversa?

En algún punto, he descubierto que trabajar en Ingeniería Inversa es estar en la raíz de los conocimientos en informática. Cuando lográs entender cómo un código es ejecutado por el sistema operativo, en su representación más baja, se produce un gran conocimiento que puede ser utilizado para muchos propósitos. Por ejemplo, entender cómo un código se compila puede hacerte mejor programador. Entonces, cuando entendés cómo los desarrolladores de malware ofuscan sus códigos y cómo infectan sistemas, se hace más fácil idear cómo remover esa amenaza de un sistema. La Ingeniería Inversa no es tan complicada como parece, sólo es necesario paciencia y curiosidad. Cuando te tomas el tiempo suficiente para leer instrucciones en Assembly, se hace más rápido entender qué hace una aplicación.

¿Cuál fue el código malicioso que más llamó tu atención durante el 2010? ¿Por qué?

Desde un punto de vista técnico, es definitivamente Stuxnet. Esta amenaza utiliza diversas vulnerabilidades 0-day para infectar sistemas. La forma en que la aplicación maliciosa fue realizada es muy profesional y muy interesante para analizar. Por ejemplo, a primera vista este programa no parece malicioso. Además, ciertas porciones del código sólo se ejecutan si el malware es ejecutado en un sistema operativo específico. Para algunos de los mejores Ingenieros Reversos del mundo, tomó meses para entender esta amenaza completamente.

¿Qué significó para vos el premio obtenido en Virus Bulletin, por ser el mejor ingreso en la industria antivirus en los últimos diez años?

Estoy muy halagado de haber recibido el premio VB2010 para el mejor ingreso en la industria anti-malware en los últimos 10 años. Hubo otros muchos grandes investigadores en esta categoría que se merecían el premio. Me siento muy afortunado de que ESET me dio la oportunidad de investigar algunos de los códigos maliciosos más importantes del último par de años, y estoy seguro que esto atrajo la atención que me ayudó a obtener este premio. Además, mucho de lo que hago a diario pasa por la comunicación con el público y por lo que encontramos en el Laboratorio. Sin el gran equipo de ESET yo no habría ganado este premio.

Autor , ESET

Síguenos