Ayer Internet casi explota con la noticia de que portátiles Samsung estaban siendo entregados con un software que registra todas las teclas que el usuario oprime (‘keylogger’). La acusación venía de una fuente confiable, pues se trataba de Mohamed Hassan, un experto en seguridad informática, por lo cual muchos medios decidieron creerle. Eso no tiene nada de malo, el problema es que no contrastaron la información con una versión oficial de la empresa, algo que posiblemente le salió muy caro a Samsung.
Todo comenzó con una nota elaborada por el señor Hassan para el sitio web Network World. En el escrito, Hassan dice que encontró en dos diferentes portátiles Samsung un ‘keylogger’ llamado StarLogger, a pesar de que lo único que hizo con las máquinas fue sacarlas de su empaque, prendarlas, instalarles el software de seguridad VIPRE y correrlo. Después de llamar a Samsung a pedir explicaciones, un personaje de servicio al cliente le dijo que el software lo había instalado Samsung y que era para “monitorear el uso que se les da a las máquinas”.
Según el editor de Network World, la tarea no terminó ahí. Incluso aguantaron la publicación del artículo para esperar una respuesta de 3 diferentes ejecutivos de relaciones públicas. Después de una semana de silencio por parte de la empresa, subieron la nota a Internet.
El resultado de la denuncia no se hizo esperar. De inmediato docenas de medios reconocidos dieron por sentada la veracidad del reporte. Naturalmente, los seguidores de cada sitio les creyeron la historia y comenzaron una verdadera pesadilla de relaciones públicas para Samsung. Miles de comentarios por toda la Red le reclamaban al fabricante coreano y acusaban a la empresa de quebrar la ley y mentirles a sus clientes.
Unas pocas horas más tarde, Samsung respondió a las acusaciones. Las negó rotundamente y explicó que se trataba de un falso positivo, pues el archivo y el folder que Hassan decía eran de StarLogger, en realidad son parte del paquete de idiomas de Windows. La defensa de Samsung fue confirmada por varios sitios especializados en seguridad informática, como F-Secure, pero quizás llegó demasiado tarde. Ya millones de personas habían leído una mentira y es imposible saber qué efectos eso tuvo sobre la reputación de Samsung.
Este episodio deja lecciones importantes para todo el mundo. Primero, ojalá Samsung responda con más celeridad la próxima vez que un medio le escriba para confirmar información así de delicada. Segundo, los medios tenemos la responsabilidad de siempre reportar ambos lados de una historia, especialmente si se trata de un tema delicado que puede tener graves repercusiones para una persona o una empresa. Tercero, los mismos usuarios deben cuestionar lo que sus medios favoritos reportan y no tragar entero.
Finalmente, el culpable de todo este desastre nos es ninguno de los anteriores, es VIPRE por su descuido al dejar que un archivo de Windows pueda resultar como falso positivo. Por fortuna la empresa ya aceptó su error y le pidió disculpas al señor Hassan, a Samsung y a cualquier persona que se haya visto afectada por este falso positivo.
Es un buen comienzo, pero vamos a ver quién aprende y quién va a necesitar una nueva lección.
Desde mi punto de vista, si se ha de encontrar un culpable, no se debería responsabilizar solamente a VIPRE. También, en principio, el servicio de soporte técnico de Samsung incurrió en un falta grave al otorgar información errónea sobre el incidente.
Claro está que no se puede culpar al agente de servicio que registró el caso (pues se extralimitaría en funciones al indagar la causa del problema: para eso están los ingenieros de soporte u otro encargado), pero Sí se puede y se debe responsabilizar al supervisor de Samsung que confirmó la supuesta función de monitoreo que tenía ese programa, y, en últimas, a la empresa SAMSUNG por no capacitar a los directivos y personas encargadas de verificar sus productos y los de terceros antes de ponerlos en el mercado.
Al fin y al cabo, el Sr. Hassan no mintió: tan sólo mencionó lo mismo que le informó Samsung después de haber escalado el incidente a uno de sus supervisores.
http://www.hispasec.com/unaaldia/4542
Una persona que presuma de tener conocimientos de seguridad, no debería
escribir frases como “this key logger is completely undetectable” (este
key logger es completamente indetectable). Ningún malware es
indetectable. Es más, en el caso concreto de StarLogger, no solo no
es indetectable como ningún malware sino que ya es detectado. Hemos
descargado desde http://www.willebois.nl/starlogsetup.exe el programa. Sus
tres ejecutables son detectados a través de firmas por tres y siete
antivirus. Su DLL es reconocida por 14. Curiosamente VIPRE no lo detecta
ni detectó por firmas en ningún momento. Al tratarse de un keylogger
“oficial”, se entiende como herramienta y muchas casas antivirus
prefieren no incluirlo como malware por las posibles consecuencias y
presiones legales. Lo que VIPRE detectaba (con las heurísticas agresivas
activas) era solo la presencia de c:\windows\SL que (por defecto, pero
puede ser cambiado) es el lugar donde se instala el keylogger. SL es
también el directorio donde se aloja la aplicación Microsoft Live
Application en su versión eslovena. Dar un positivo por la existencia
de una carpeta es uno de los falsos positivos más ridículos vistos.
Mohamed Hassan sigue cometiendo errores en su análisis. Afirma que
“After an in-depth analysis of the laptop” (después de un profundo
análisis del portátil) llega a la conclusión de la existencia del
keylogger. Dudo mucho de que realizara un “profundo” análisis. Por
ejemplo, como mínimo debían encontrarse en el portátil alguno de los
tres ejecutables y la DLL que conforma StarLogger y debió haberlos
analizado por si se trataba de variantes… pero ni siquiera estaban
en el sistema. Además, ¿supuestamente dónde enviaba los datos de las
teclas pulsadas? ¿a Samsung? ¿analizó el tráfico?… El estudio es
tremendamente impreciso y realmente parece basarse exclusivamente
en la detección de VIPRE.
Además afirma rotundamente que sus herramientas (que no menciona
explícitamente) son infalibles “The findings are false-positive proof
since I have used the tool that discovered it for six years now and
I am yet to see it misidentify an item throughout the years.” (Los
descubrimientos son a prueba de falsos positivos puesto que he utilizado
la herramienta que lo descubrió por seis años ya y todavía no he visto
identificar mal un ítem durante estos años). No existen herramientas
infalibles, ni méritos pasados garantizan éxitos futuros. En definitiva,
un estudio poco serio, aunque muy eficaz para lanzar titulares
espectaculares.