¿Deberían los proveedores de acceso desconectar a los usuarios infectados?

Este es un tema que reaparece de vez en cuando (la última vez que lo tratamos aquí fue en ¿Tienes malware? ¡Te desconectamos!, pero anteriormente había más como atestigua el primer enlace). En esta ocasión lo vemos en Should ISPs Cut Off Bot-infected Users?, que apunta a Should ISPs cut off bot-infected users? donde se vuelve al viejo tema.

Al final, parec que la historia se repite en todos sus detalles: hay quien está dispuesto a avisar, pero no a cortar: Comcast Pushes Bot Alert Program Nationwide.

¿Y qué sucedería si eso se aplicara en España? Si hacemos caso a los titulares de hoy mismo habría que desconectar a un montón de internautas: España es el tercer país del mundo con más ordenadores zombis.

¿Malware para GPUs?

Más especulativo que otra cosa, [pdf] GPU-Assisted Malware nos habla de las capacidades de los procesadores gráficos y las posibilidades de ejecutar código malicioso en ellos.

Queda reflejado a título de inventario y porque no es la primera vez que hablamos de posibilidades alternativas de las GPU, como en Utilización de GPUs para análisis de claves.

Aquí también aplicaríamos el principio de Occam (Infecciones en red) y no creo que los ‘malos’ utilicen ataques tan sofisticados (y menos exitosos, en principio, por cuestiones del número de procesadores de este tipo disponibles) cuando los viejos ataques a las viejas CPUs siguen funcionando tan bien.

Humanos y virus informáticos

Es un tema que habíamos comentado de pasada. En Primer humano “infectado” por un virus de computadora nos hablan del caso de Mark Gasson, que se implantó un chip de identificación por radio frecuencia (RFID) y lo infectó con un virus de ordenador, como cuentan en Could humans be infected by computer viruses?.
A partir de allí elucubran con la posibilidad de transmitir el virus a otros dispositivos.
En esta línea de infecciones hipotéticas pero complicadas, comentamos en su día aquello de Infecciones en red.

Naturalmente, el principio de la Navaja de Occam nos dice que hay formas más fáciles de causar perjuicios, pero recordemos que la cantidad de dispositivos programables que hay a nuestro alrededor sin demasiada seguridad es grande (y creciendo) como veíamos, por ejemplo, en ¿Pueden atacar tu coche?.

10 años de I love you

En Loveletter 2000-2010 nos recuerdan que hoy hace diez años del ‘lanzamiento’ de este gusano que se difundió por todo el mundo en cuestión de minutos: utilizaba la agenda de contactos, un poco de visual basic y necesitaba que lo abriéramos para propagarse: siempre me ha sorprendido mucho que se propagara tanto por estos lares. Yo entiendo que si recibes un mensaje de alguien que dice ‘I love you’ y tu lengua nativa es el inglés la cosa pueda tener su interés. Pero si normalmente recibes mensajes en otro idioma, un mensaje así puede ser como para sospechar.

Como dicen los de f-secure en aquel momento uno de estos bichitos era noticia de primera página; ahora creo que ya no, pero en parte porque son mucho más silenciosos y la mayoría de la gente ni siquera llega a notar que está infectada.

Malware e ISPs

Ya habíamos hablado del tema en ¿Tienes malware? ¡Te desconectamos!. Ahora es un ISP norteamericano, Comcast pop-ups alert customers to PC infections: notificarán a los usuarios cuyos PCs detecten que tienen problemas (un cambio repentino de aumento de tráfico, un envío masivo de mensajes de correo electrónico, …) para que puedan tomar las medidas que consideren oportunas.

Ya hacían algo similar en el Qwest Customer Internet Protection Program Increases Security For Broadband Customers, Combats Spread Of Viruses And Malware.

Recordemos que en las propuestas que habíamos visto anteriormente desconectaban a los usuarios (dentro de sus empresas). Aquí los proveedores simplemente proponen notificar: puedo imaginar líos con los falsos positivos y luego problemas cuando los usuarios menos avezados (y los más, para qué nos vamos a engañar) cuando accedan a los servicios de atención al cliente que no siempre les ayudarán adecuadamente (tal vez sí, ojalá me equivoque).

La propagación de la información

Me encantó leer Rumorología antivirus que nos muestra como, en un mundo pequeño y cerrado, la información puede propargarse bien aunque sea mala: se trata de la historia del “AlertVir”, un producto de seguridad que algunos antivirus empezaron a detectar como peligroso y que nadie ‘defendió’, de manera que el resto de empresas empezaron a incluir en sus firmas mencanismos para detectarlo y señalarlo como malicioso.

A las empresas les traía más cuenta seguir a la manada que preocuparse de un producto que no conocían y en el que tendrían que invertir tiempo y recursos para determinar que era inocuo.

¿Tienes malware? ¡Te desconectamos!

Alguna empresa ya lo hacía (o decía que lo hacía, por ejemplo, lo contábamos en Gusanos: las defensas de IBM y HP . Me suena haber puesto algún ejemplo más pero no lo encuentro). Ahora nos cuentan una iniaciva en Australia, ¿PC infectado? Fuera de la red en Australia. No tengo muy claro cómo se vería esto por aquí (aunque a los políticos les ronda por la cabeza eso de desconectar a los usuarios de P2P). Supongo que complementado con un buen servicio de desinfección y reconexión podría tener su gracia.

Sin olvidar, claro, que se desconecta a los que tienen lo malo conocido, no las cosas malas que los antivirus/detectores y otros cacharritos no son capaces de detectar en un momento dado. Y sin olvidar también que siempre puede haber falsos positivos (gente que de positivo en las alertas sin estar infectado ni ser infecciosa).

Un compilador que infecta los binarios

En mis cursos de diseño de aplicaciones seguras es una lectura recomendada el Reflections on trusting trust (pdf) de Ken Thompson: al final tienes que confiar en en algo porque, él hipotetizaba, podrían darte el compilador manipulado y cualquier binario generado con ello podría infectarse y tendríamos un sistema inseguro.

Nos lo recuerdan en Virus que infectan compiladores y un caso que parece ser que está de actualidad porque hay compiladores de Delphi que harían realidad aquella especulación: una vez infectados generan binarios infectados (se han detectado incluso virus y troyanos infectados, si todo lo que se cuenta es cierto). Hay algunos detalles más en W32/Induc-A virus being spread by Delphi software houses.

Puedes estar vigilado

Me ha gustado mucho el artículo de Shishir Nagaraja y Ross Anderson sobre The snooping dragon: social-malware surveillance of the Tibetan movement (pdf) donde se analiza un presunto caso de espionaje por parte del gobierno chino a la oficina del Dalai Lama utilizando ingeniería social, troyanos y la poca preparación frente a esas cosas de los tibetanos.

Es muy interesante porque muestra cómo se puede lanzar un ataque de ‘baja’ tecnología, pero completamente dirigido contra alguien, para sacar partido de la información que está disponible en sus computadores; normalmente, lo que sale en los medios son los grandes ataques que ‘tumban’ un montón de computadores provocando poco más que molestias (tiempo y dinero) y pasan desapercibidas estas otras posibilidades. Son mucho menos molestas a nivel general, pero más peligrosas a nivel particular.

En el lado tibetano: información sin cifrar, tráfico sin cifrar, nada de compartimentalización (los computadores con los datos se usan para acceder a internet), gente con acceso a recursos delicados con un perfil ‘alto’ en la red, …

Como dice el artículo, ¿qué pasará cuando los ladrones normales empiecen
a utilizar estas técnicas contra empresas normales?