Un grupo de investigadores que previamente han demostrado la posibilidad de desanonimizar a creadores de malware analizando el código fuente de los programas que han creado, ahora demostraron que se pueden lograr buenos resultados mediante el análisis de los binarios ejecutables de esos programas.

En ambos experimentos se utilizó un conjunto de datos recogidos de la competencia anual de programación Google Code Jam (2008-2014, ejemplos de código fuente de 600 programadores).

"Proponemos la desanonimización de programadores como un problema de aprendizaje automático", explicó Aylin Caliskan-Islam, una investigadora  postdoctoral asociada del CITP (Center for Information Technology Policy) en la Universidad de Princeton, también una de los investigadores involucrados en el experimento.

Para el análisis de binarios se siguió este flujo de trabajo:

Con el fin de lograr un buen resultado, el clasificador de bosque aleatorio tiene que ser entrenado proporcionándole muestras de binarios ejecutables de diversos autores de código.

El sistema no funciona a la perfección si las muestras por cada codificador son muy pocas o si el número de codificadores es demasiado grande, pero la diferencia no es significativa. De hecho, después de ser alimentados con una sola muestra binaria ejecutable creada por un solo autor, el clasificador fue capaz de identificar correctamente al autor (de 20 programadores) con 75,4% de precisión.

Después de elevar el número de muestras binarias ejecutables a 14 para cada programador, el clasificador cataloga correctamente 280 casos de prueba con 96% de precisión.

Los investigadores también probaron su enfoque con muestras recogidas de proyectos de código abierto alojados en GitHub.

"Los proyectos de código abierto no garantizan la verdad sobre la autoría. Las características de los vectores podrían capturar los temas del proyecto en lugar del estilo de programación. Como resultado, el código abierto no genera datos ideales para el análisis de la autoría; sin embargo, esto nos permite evaluar mejor la aplicabilidad de la desanonimización del programador en un ambiente real", explicaron los investigadores en el documento.

¿Los resultados- Una precisión de 62% en la correcta clasificación de los binarios ejecutables de los programadores. "Nuestros resultados son una clara preocupación para las personas que deseen liberar binarios de manera anónima", señalaron los investigadores.

Sin embargo, los autores de malware que utilizan técnicas antiforenses, tales como ofuscación de código, compresión de datos, cifrado o compiladores especializados que no tienen descompiladores, pueden respirar tranquilos por ahora, ya que se requiere de más trabajo para pasar esos obstáculos durante el análisis de sus archivos ejecutables maliciosos.