Seguimos desde Seattle en el evento más importante de investigación de la industria antivirus, Virus Bulletin. La segunda jornada abrió con la charla de Jonathan Burns y Daniel Raygoza, del FBI, sobre “Análisis Automátizado de Malware”. Como eje de la exposición, los integrantes del equipo de tecnología de la fuerza de seguridad federal de los Estados Unidos presentaron Malware Investigator, su nueva herramienta que nuclea reportes automatizados de malware.
Tanto Burns como Raygoza trabajan en la operación de tecnologías del FBI, en la división de análisis de malware. Ellos se dedican a hacer análisis forense para todo tipo de operaciones de la brigada, y para introducir la charla contaron un poco la historia del FBI con el análisis de códigos maliciosos.
Comenzó en 1998, con un trabajo 100% manual. Recién en el año 2011 comenzaron a trabajar en un software para gestionar mejor las muestras de códigos maliciosos que tenían, pero aún así la mayoría de los análisis se realizaba manualmente.
En 2013 comenzaron a desarrollar “Malware Investigator”, herramienta que realiza análisis automatizados de malware para diversas fuerzas de seguridad y partners del FBI; y esta es la que hoy presentaron a la comunidad de investigadores de la industria antivirus reunida en Virus Bulletin.
¿Qué es Malware Investigator?
Es un sistema de análisis automatizado y repositorio para malware que, según los presentadores, resuelve el 80% de las necesidades de análisis del organismo, y provee a los usuarios de información necesaria para avanzar con las investigaciones -en el resto de los casos, esperan el resultado de la Ingeniería Reversa manual.
En el sitio web oficial de la herramienta, el FBI deja muy en claro por qué es importante:
El malware es el principal instrumento de los ciberataques en la actualidad. En concordancia con el crecimiento en variantes que ha tenido el malware en los últimos diez años, aquellas organizaciones que se dedican a reducir los incidentes de seguridad deben poder comprender rápidamente las funcionalidad y características de archivos sospechosos, como así también tener la habilidad de compartir esos resultados con otros. Tanto para que integrantes de la fuerza de seguridad persigan a cibercriminales, profesionales de IT trabajen en mitigar ataques informáticos o investigadores puedan entender el mapa de ciberamenazas, Malware Investigator provee a sus usuarios un sistema potente para alcanzar dichos objetivos.
Vale reconocer que en la demo realizada en vivo el día de hoy, pudimos ver que el sistema no es muy distinto a lo que ya tenemos en los laboratorios antivirus (¡o al menos en el Laboratorio de Investigación de ESET Latinoamérica lo tenemos!), y hasta incluso un poco más limitado en muchos aspectos. Sin embargo, eso no quita que la herramienta parece estar bien desarrollada y ordenada y que al ser pública, muchas personas podrán tener acceso a ella sin tener que trabajar en un laboratorio.
El acceso público aún no está habilitado, y esperan hacerlo en los próximos meses cuando finalicen con el desarrollo del mismo. Mientras tanto, pueden chequear en la sección del sitio web específica para más novedades.
Es interesante ver cómo el FBI fomenta la colaboración con el sector privado, aclarando que su objetivo es ser totalmente agnósticos en cuanto a los vendors y por eso fomentan la colaboración con todos, incluso con el público en general.
Según los oradores, el sitio ya posee más de mil usuarios de las fuerzas de seguridad de Estados Unidos y esperan que sea una plataforma cada vez más utilizada, confirmando la relevancia que tiene el malware en el escenario del cibercrimen actual, y cómo los gobiernos y estados se están ocupando cada vez con mayor preocupación de este tema.