La inteligencia colectiva Vs Malware: el Conficker Working group

La inteligencia colectiva, como se ha descrito en diferentes posts de este blog, puede ser utilizada en multitud de ámbitos muy diferentes. Al fin y al cabo, se trata de aprovechar el potencial de un grupo para solventar un problema, proponer nuevas ideas, etc. independientemente del ámbito de actuación. No es extraño por tanto que la inteligencia colectiva haya sido utilizada en un área tan relevante hoy en día como es la ciberseguridad.

Un caso concreto de este uso de la inteligencia colectiva (para bien) en el mundo de la ciberseguridad es el caso del «Coinficker Working Group».

El malware Conficker

En noviembre de 2008 se detectó la primera versión de un malware (un gusano) denominado Conficker. Este malware, que aprovechaba una vulnerabilidad de diferentes versiones del sistema operativo Windows, llegó a infectar millones de máquinas incorporándolas a una botnet (red de ordenadores que pueden ser controlados por un atacante de forma remota).

La intención del autor no se averiguó en ningún momento, aunque diferentes expertos aseguraron que la botnet tenía capacidad para producir graves daños, no solo a usuarios de Internet, sino también a empresas, gobiernos o incluso a infraestructuras críticas. Hay que tener en cuenta que este malware llego a tener hasta 5 versiones, en cada una de las cuales iba incorporando nuevas «prestaciones»: mejoras en su forma de propagación, conexión P2P con otras máquinas infectadas, incorporación de adware, etc.

Conficker, al igual que sucedió recientemente con el ransomware Wannacry, aprovechaba una vulnerabilidad para la que Microsoft había publicado recientemente un parche. Aquellos que no tenían actualizado su sistema operativo, podían ser infectados.

Mapa que muestra las zonas donde el malware Conficker fue instalado, «The Map Scrolls», http://mapscroll.blogspot.com.es/2009/04/mapping-conficker-worm.html

El principio de la solución

Aunque la solución definitiva para este malware fue una herramienta desarrollada por Microsoft que eliminaba el malware y actualizaba el sistema operativo instalando el parche correspondiente, la primera reacción vino de parte de un grupo de profesionales del área de la ciberseguridad.

Diferentes expertos de Microsoft, ICANN, investigadores universitarios, empresas privadas (como Symantec) e incluso gobiernos (en concreto el gobierno Chino), algunos desde sus puestos de trabajo y otros en su tiempo libre, se organizaron para frenar el avance de Conficker.

La tarea de este equipo fue la siguiente.

El malware, para recibir instrucciones, actualizarse o descargar ficheros, se conectaba a una serie de dominios de primer nivel (.com, .biz, etc.). Sólo en algunas de estas páginas el malware recibía dichas instrucciones. Si se bloqueaban estos dominios, se bloquearía la actividad del malware. El grupo entonces hizo lo siguiente:

  1. Identificar los dominios a los que Conficker trataba de conectarse y bloquearlos (esto fue posible gracias a la implicación de ICANN y otras empresas dedicadas al registro de dominios).
    • Si el dominio que trataba de contactar Conficker ya estaba registrado, había que investigar dicho dominio. ¿Era legítimo o no? En caso de no serlo, se bloqueaba.
    • En muchas ocasiones, se dio la circunstancia de que el dominio investigado se dedicaba a distribuir otro malware o spam. En estos casos, también se bloqueaban estos dominios.
  2. Si el dominio al que trataba de conectarse no estaba registrado, el grupo lo registraba para controlarlo.

También crearon un pequeño programa que indicaba a los usuarios si su ordenador estaba infectado. Se dieron cuenta de que ellos solos no podría vencer al malware, sino que era importante implicar a cada uno de los usuarios (en la medida de lo posible). Al fin y al cabo, si las máquinas no se limpiaban, el problema seguiría existiendo.

Posteriormente Microsoft publicó la herramienta que eliminaba el malware, a la vez que instalaba el parche que evitaba su instalación.

El trabajo que realizaron no fue sencillo y en ocasiones casi se dieron por vencidos. La coordinación y el trato entre los miembros del equipo tampoco fueron fáciles (influidos a veces por elementos externos como los medios de comunicación). De todas formas, el éxito del grupo fue considerable y sus resultados y acciones aparecen recogidas en un documento que desarrollaron algún tiempo después: «Conficker Working Group: Lessons learned». También crearon una wiki desde donde publicar novedades al respecto.

Desde el punto de vista del crowdsourcing y la inteligencia colectiva

Desde el punto de vista del crowdsourcing, lo que hicieron los miembros de este grupo es realizar HITs («Human Intelligence Tasks»): una tarea muy concreta que un ordenador no podría realizar de manera automática porque necesita de la inteligencia humana.

En cuanto al crowdsourcer, la iniciativa no surgió de una empresa/organización/persona concreta, sino que surgió de una manera más general. Esto a su vez, generó algunos problemas, ya que al no haber un responsable claro que marcara determinadas líneas, surgieron problemas relacionados, por ejemplo, con la relación con los medios, etc.

Tampoco había una recompensa tangible, pero en este caso podríamos decir que lo que movía a la multitud era una mezcla de «glory» y «love» (siguiendo a Malone).

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.