8 tecnologías que EEUU está tratando de comercializar (I parte)

Departamento de Seguridad Nacional anunció Tecnologías de ciberseguridad desarrolladas con subvenciones para encontrar empresas privadas que las conviertan en productos comerciales.

PC World en Español

Son ocho nuevas tecnologías de ciberseguridad desarrolladas con subvenciones federales para encontrar empresas privadas que las conviertan en productos comerciales, las que está dando a Conocer el Departamento de Seguridad de los Estados Unidos.

En su cuarta Cyber Security Division Transition to Practice Guide, el DHS describe estas ocho tecnologías que abarcan desde herramientas de análisis de malware hasta plataformas de análisis de comportamiento y software de aleatorización para proteger aplicaciones de Windows.

El programa Transition to Practice del DHS identifica investigaciones de ciberseguridad que están listas para pruebas piloto o para ser desarrolladas en productos comerciales. En los cuatro años que lleva en marcha el programa, se han concedido licencias de cuatro de las 24 tecnologías desarrolladas a entidades comerciales y una se liberó como código abierto.

El programa TTP intenta dar un uso práctico a la ciberinvestigación no clasificada. “El Gobierno federal gasta más de 1.000 millones de dólares al año en investigaciones de ciberseguridad no clasificadas”, afirma el informe. “Sin embargo, solo una pequeña parte de esas investigaciones se llegan a integrar en el mercado”.

He aquí una descripción de las ocho tecnologías nuevas del informe de este año:

REnigma

Este software ejecuta malware en una máquina virtual y registra lo que hace para que pueda ser reproducido y analizado detalladamente. La idea es ofrecer a los investigadores la oportunidad de ver el malware en funcionamiento para que puedan entender en profundidad qué hace y cómo. Permite a los investigadores evitar la ingeniería inversa manual. El avance tecnológico clave, desarrollado por el Johns Hopkins Applied Physics Laboratory, es la reproducción y el registro en una máquina virtual. Gracias a esto, los investigadores pueden utilizar herramientas de análisis sobre el malware mientras se está ejecutando y la tecnología antianálisis del malware no es capaz de detectarlo. “Por ejemplo”, explica el informe, “si una muestra de código malicioso libera datos encriptados en la red, un analista puede utilizar REnigma para retroceder a los datos de texto no encriptados en la memoria o recuperar la clave de encriptación usada para la exfiltración”.

Sócrates

Esta plataforma de software busca automáticamente patrones en conjuntos de datos y puede determinar los que representan ciberamenazas. Trata de ofrecer tanto capacidades de análisis como de computación, una combinación de la que suelen carecer los analistas humanos. La plataforma puede realizar análisis de datos no supervisados, buscando patrones que pueden revelar consecuencias futuras. Sócrates se ha utilizado para estudiar los patrones de viaje de grupos grandes para descubrir a socios desconocidos de personas de interés, por ejemplo.

PcapDB

Este es un sistema de base de datos de software que captura paquetes para analizar el tráfico de red organizando primero el tráfico de paquetes en flujos. Sus creadores comparan su función con la de las cajas negras de registro de los aviones. “Pcap permite la reconstrucción de las transferencias de malware, las descargas, los mensajes de control y comando y los datos exfiltrados”, explican. La plataforma optimiza los datos capturados para que puedan ser almacenados en menos espacio de disco y acceder a ellos más rápidamente para analizarlos. Al eliminar las características innecesarias, PcaDB puede almacenar meses de datos de tráfico en discos SCSI conecta-dos en serie (SAS), una ventaja a la hora de investigar intrusiones. “Al investigar un incidente cibernético, es clave contar con el historial más largo posible”, escriben sus creadores.

REDUCE

Esta es una herramienta de análisis de software para revelar relaciones entre muestras de malware y desarrollar firmas que puedan utilizarse para identificar amenazas. El software realiza un análisis estático en muestras de malware para identificar secciones de código similares que conectan las muestras con grupos de malware analizados con anterioridad. Esto permite inferir rápidamente quién escribió el malware nuevo y cuáles podrían ser sus características técnicas. A diferencia de algunas herramientas comerciales que solo comparan dos muestras de malware al mismo tiempo, REDUCE puede comparar varias muestras simultáneamente. Cuando descubre similitudes en los patrones de código las expone junto a la información existente sobre esos patrones. Esta herramienta está diseñada para ser utilizada por profesionales de seguridad sin mucha experiencia en ingeniería inversa.