Desinformación en el análisis de malware
El trabajo de investigación de Jonathan Scott sobre el Catalangate
Before we begin a brief note in English. I do not speak Spanish at all. This translation was done by the Twitter user @noavisaron and proofread by @cjreed05, @Ignacio_Porta, and two other, anonymous, Twitter users.
The original post in English, which I wrote is available here.
En los últimos años hemos salido de la era de la información y hemos entrado en la era de la desinformación. Recientemente, la desinformación ha llegado incluso a esa pequeña área a la que me dedico en investigación en seguridad informática: el análisis de malware.
El análisis de malware es algo que he estado haciendo toda mi carrera, por lo que claramente me apasiona. Es por eso que me he decidido a desenmascarar la investigación que Jonathan Scott (conocido en Twitter como @jonathadata1) ha titulado “Uncovering the Citizen Lab an Analytical and Technical Review Disproving Catalangate”. Este documento hace referencia a la investigación llevada a cabo por Citizen Lab titulada “CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru”.
Catalangate y Pegasus
El 18 de abril de 2022, Citizen Lab publicó una investigación que, en colaboración con grupos de la sociedad civil catalana, identificó al menos a 65 personas atacadas o infectadas con spyware mercenario. Jonathan está extremadamente interesado en Pegasus y, naturalmente, estaba enterado del informe. A continuación procedió a investigar las afirmaciones hechas por Citizen Lab y publicó en ResearchGate un trabajo de investigación que, según sus propias palabras, “desacredita” el informe de Citizen Lab.
Una nota antes de continuar: ResearchGate es una red social para investigadores. Permite que cualquier investigador pueda subir cualquier trabajo. Que un trabajo aparezca publicado en dicha red social no debe verse como que posee un sello de verificación de ningún tipo.
Breve nota sobre ataques personales
No me gustan los ataques personales que hace Jonathan a los investigadores. Es una persona muy abusiva que trata de atacar a cualquiera que no esté de acuerdo con él. Lo sé bien, ya que tengo experiencia de primera mano en dichos ataques.
No comentaré las primeras partes de su informe, que solo sirven como una forma de tratar de desacreditar a las personas que investigan el Catalangate, sino su “investigación”. Estos ataques personales no tienen ningún valor técnico: no tienen relevancia y sus argumentos son infantiles.
Me centraré únicamente en los aspectos técnicos del informe.
Configuración de la desinformación: vectores de ataque
En su informe, Jonathan intenta ignorar varias partes del informe del Catalangate para simplificar el tema de una manera que haga más plausibles sus falsas afirmaciones.
La investigación de Citizen Lab sobre Catalangate dice que:
Las víctimas se infectaron a través de al menos dos vectores: exploits sin click (zero clicks) y SMS maliciosos.
Los exploits de cero clicks que menciona Citizen Lab son dos exploits para iMessage y otro para Whatsapp. Dichos exploits pueden infectar dispositivos sin ninguna interacción del usuario (por eso la etiqueta “cero clicks”). Jonathan ignora convenientemente las vulnerabilidades de iMessage y los SMS y, en su lugar, trata de hacer como si Citizen Lab solo informase sobre la vulnerabilidad de Whatsapp explotada.
Ésta es claramente una táctica para tergiversar los argumentos de Citizen Lab y luego refutar dicha tergiversación. La táctica es tan conocida que Schopenhauer menciona este comportamiento en “Dialéctica erística o el arte de tener razón, expuesta en 38 estratagemas”.
Jonathan establece específicamente un punto que es falso para centrar su “análisis” en dicho punto:
Quiero recordar a los lectores de este informe que la base de las afirmaciones de que los catalanes fueron hackeados con el software espía Pegasus proviene de una vulnerabilidad encontrada por Whatsapp.
Refutar argumentos no realizados
Incluso cuando Jonathan trata de refutar dicho argumento, no lo hace. Intenta probar que todos los dominios en el repositorio de GitHub de Amnistía Internacional de un “pull request” están relacionados exclusivamente con el exploit para Whatsapp utilizado en el Catalangate. Una vez más, no hay nada que sugiera que todos los dominios están conectados a este exploit específico.
Jonathan continúa con su tergiversación de la investigación realizada por Citizen Lab diciendo que el dominio tenía que estar activo en abril o mayo de 2019. Esta es una nueva fabricación, ya que nadie ha sugerido que esto sea así. Jonathan intenta conectar los dominios solo con los ataques de Whatsapp que ocurrieron en abril y mayo de 2019, aunque el informe de Citizen Lab menciona muchos ataques diferentes en diferentes momentos.
Aunque Jonathan tergiversó por completo la investigación de Citizen Lab, ni siquiera pudo refutar esta tergiversación. Por ejemplo, Jonathan menciona el nombre de dominio redirstats.com, que supuestamente expiró en abril/mayo de 2019 (y, por lo tanto, refuta el argumento que nadie, excepto Jonathan, ha hecho).
Sin embargo, según sus propios datos sin procesar en su propio GitHub, este dominio estuvo activo en ese período, como puede verse en la captura de pantalla.
Como se puede ver, Jonathan confundió la fecha en que se archivó el registro (24 de mayo de 2019) con las fechas en que el dominio estuvo activo (de noviembre de 2018 a noviembre de 2019). Claramente, el dominio estuvo activo en abril y mayo de 2019. Por lo tanto, Jonathan ni siquiera desacredita su propia tergiversación de la investigación de Citizen Lab. Ironías de la vida.
El “experimento de los falsos positivos”
La siguiente sección del informe de Jonathan trata de un experimento para el que solicitaba la ayuda de 50 voluntarios. Logró solo 9. La configuración del experimento fue, de hecho, bastante extraña.
Jonathan pidió a los voluntarios que falsificasen los indicadores de compromiso de infección (IOCs) de Pegasus en sus dispositivos y que luego ejecutasen una herramienta que detectase dichos IOCs. Como era de esperar, la herramienta diseñada para detectar un IOC detectó dicho indicador de compromiso. No estoy seguro de lo que Jonathan quería demostrar exactamente, pero creo que puedo adivinarlo.
Aparentemente, el argumento de Jonathan es el siguiente: Si se puede simular una infección enviando un mensaje con un IOC, esto probaría que los IOCs, en sí mismos, no tienen valor. Me cuesta entender esta lógica. La herramienta que detecta nombres de dominio específicos detectó estos nombres de dominio. Los indicadores de compromiso se utilizan en un contexto específico para detectar ataques a objetivos probables. Estas detecciones luego se analizan en detalle para confirmar la infección.
Todo su experimento se basa en el uso de Mobile Verification Toolkit. Este kit de herramientas viene con una advertencia muy específica:
Advertencia: MVT es una herramienta de investigación forense destinada a técnicos e investigadores. Usarla requiere comprender los conceptos básicos del análisis forense y usar herramientas de línea de comandos. Esto no está destinado a autoevaluación de usuarios finales. Si le preocupa la seguridad de su dispositivo, busque ayuda de expertos.
Obtener los resultados automatizados del análisis forense es un punto de partida para cualquier investigación forense. Es el comienzo de un proceso largo y complejo, no el final.
La lógica de Jonathan asume, implícitamente, que los objetivos de los ataques conocían los indicadores de compromiso durante el ataque y que falsificaron dichas infecciones. Luego, basándose en dicha suposición, trata de probar que los ataques son falsos. Con esto ha demostrado una tautología: si los ataques son falsos, entonces son falsos. No presenta evidencia de que los ataques reales, los de la investigación de Citizen Lab, hayan sido falsificados de ninguna manera. Solo presenta los resultados de su experimento que confirman que los ataques falsos que él orquestó son falsos.
Ni siquiera logra terminar correctamente el experimento. En lugar de tener 50 voluntarios (como se propuso hacer), solo logró obtener 9. De estos 9, solo 7 completaron sus instrucciones correctamente (nuevamente, sin probar nada sustancial). Así pues, Jonathan se ha equivocado al probar dicha tautología.
El “análisis” de las víctimas
Esta sección hace una declaración muy interesante. Esta declaración parece ser que si Jonathan no puede confirmar por sí mismo la infección con “spyware”, entonces la infección no ocurrió. Continúa diciendo que no está contento con que no haya IOCs de algunas víctimas ni tampoco líneas de tiempo detalladas.
No discutiré este punto, porque claramente no se basa en argumento científico alguno y está sesgado.
¿Tiene alguna intención maliciosa?
La pregunta que inevitablemente te harás ahora es: ¿Tiene Jonathan alguna intención maliciosa o simplemente no es especialmente bueno en el análisis de malware? En mi opinión, diría que es malicioso, basándome en la forma en la que opera. Cada vez que alguien trata de corregir sus descubrimientos en público, su respuesta inmediata son ataques ad hominem tratando de desacreditar a dicha persona. Un ejemplo de dicha actuación en twitter se muestra a continuación:
Es tan agresivo con los demás que en ocasiones Twitter ha restringido su cuenta debido a amenazas varias tales como querer hackear a su interlocutor o afirmar que expondría información personal de tal o cuál persona, más de una vez.
También creo que es malintencionado debido a mi propia experiencia personal. En el pasado, me comuniqué con él usando mensajes directos en Twitter e intenté corregir algunos de sus descubrimientos en privado: hizo como que mis correcciones no tenían importancia.
Dado que a Jonathan no parecía importarle la muestra 1, le hice saber que dicha muestra era un falso positivo. Esto sacó de sus casillas a Jonathan. Trató de humillarme fingiendo que tengo un informe innovador sobre Pegasus pendiente de publicación, etiquetando a medios de comunicación y periodistas que informaron sobre él o lo entrevistaron.
Sé por conversaciones con otros que no soy el único investigador que tiene esta impresión. Esto demuestra que a Jonathan no le importa la verdad. Lo único que le importa es si su campaña de desinformación es cuestionada públicamente o no.
¿Por qué no ignorarle, simplemente?
Puedes preguntarte: “¿Por qué no, sencillamente, ignoramos a Jonathan?” Desafortunadamente, Jonathan es muy bueno publicitando sus descubrimientos. Por ejemplo, fue entrevistado por el Business Daily de la BBC (posteriormente emitieron una corrección) y su artículo se ha publicado en muchos sitios web de noticias diversas. Sus afirmaciones fueron incluso citadas durante la audiencia del Comité del Senado polaco sobre Pegasus. La táctica de ignorar a Jonathan solo funcionaría si los medios hicieran lo mismo.
Se puede argumentar que desacreditar afirmaciones propaga las afirmaciones desacreditadas. Sin embargo, Jonathan y sus afirmaciones ya son demasiado influyentes y peligrosas. Es probable que desacreditar estas afirmaciones llegue a la misma audiencia, o incluso a una más pequeña.
También creo que está difundiendo información errónea de manera peligrosa a propósito, y varios medios de comunicación se muestran dispuestos a proporcionarle un espacio en sus plataformas. Es muy peligroso y, simplemente, me molesta. Espero que esta publicación en mi blog nos ayude a todos a comprender cómo se crea la desinformación y nos ayude a detectarla.
Nosotros, todos nosotros, merecemos algo mejor. Merecemos hechos, no retórica y ataques ad hominem. Merecemos información, no desinformación.
