¿Deberían los proveedores de acceso desconectar a los usuarios infectados?

Este es un tema que reaparece de vez en cuando (la última vez que lo tratamos aquí fue en ¿Tienes malware? ¡Te desconectamos!, pero anteriormente había más como atestigua el primer enlace). En esta ocasión lo vemos en Should ISPs Cut Off Bot-infected Users?, que apunta a Should ISPs cut off bot-infected users? donde se vuelve al viejo tema.

Al final, parec que la historia se repite en todos sus detalles: hay quien está dispuesto a avisar, pero no a cortar: Comcast Pushes Bot Alert Program Nationwide.

¿Y qué sucedería si eso se aplicara en España? Si hacemos caso a los titulares de hoy mismo habría que desconectar a un montón de internautas: España es el tercer país del mundo con más ordenadores zombis.

¿Malware para GPUs?

Más especulativo que otra cosa, [pdf] GPU-Assisted Malware nos habla de las capacidades de los procesadores gráficos y las posibilidades de ejecutar código malicioso en ellos.

Queda reflejado a título de inventario y porque no es la primera vez que hablamos de posibilidades alternativas de las GPU, como en Utilización de GPUs para análisis de claves.

Aquí también aplicaríamos el principio de Occam (Infecciones en red) y no creo que los ‘malos’ utilicen ataques tan sofisticados (y menos exitosos, en principio, por cuestiones del número de procesadores de este tipo disponibles) cuando los viejos ataques a las viejas CPUs siguen funcionando tan bien.

Stuxnet: de la red al mundo físico

Parece que el tema de este verano ha estado siendo Stuxnet, un gusano que anda propagándose por ahí y que, como novedad, incluye un rootkit para PLC’s: esencialmente, si se dieran las condiciones adecuadas podría atacar entornos industriales ya que estos dispositivos controlan máquinas y otros sistemas.

Por lo demás, casi todo son elucubraciones y cosas que se piensa que
podrían pasar. Algunos enlaces:

• Stuxnet: el ‘ciber-arma’ que se los esta poniendo por corbata a media comunidad de seguridad e inteligencia
• DEADF007 – Is Stuxnet The Secret Weapon To Attack Iran’s Nukes; Is A Virus About To Revolutionize Modern Warfare?
• Stuxnet malware is ‘weapon’ out to destroy … Iran’s Bushehr nuclear plant?
  
• The Stuxnet Worm
• Stuxnet: the first weaponized software?

Y podríamos relacionarlo con dos tipos de entrada que hemos puesto por aquí de vez en cuando: sistemas inseguros porque no se piensa que nadie vaya a atacarlos, como aquella historia de Más ataques a coches y los enlaces que allí se contienen o Los electrodomésticos y la seguridad.
La otra línea serían los ataques dirigidos, como los que se comentaban en Ataques a objetivos concretos.

10 años de I love you

En Loveletter 2000-2010 nos recuerdan que hoy hace diez años del ‘lanzamiento’ de este gusano que se difundió por todo el mundo en cuestión de minutos: utilizaba la agenda de contactos, un poco de visual basic y necesitaba que lo abriéramos para propagarse: siempre me ha sorprendido mucho que se propagara tanto por estos lares. Yo entiendo que si recibes un mensaje de alguien que dice ‘I love you’ y tu lengua nativa es el inglés la cosa pueda tener su interés. Pero si normalmente recibes mensajes en otro idioma, un mensaje así puede ser como para sospechar.

Como dicen los de f-secure en aquel momento uno de estos bichitos era noticia de primera página; ahora creo que ya no, pero en parte porque son mucho más silenciosos y la mayoría de la gente ni siquera llega a notar que está infectada.

Controlar una botnet desde Google Groups

En Researchers Discover Botnet Commanded by Google Groups cuentan de un caso de una botnet controlada desde los Grupos de Google (listas de correo y algunas herramientas más). Tradicionalmente las botnets se controlaban mediante el IRC, aunque también habíamos leido de controles usando Twitter.

La historia de Conficker

El INTECO ha publicado una Historia de Conficker (Downadup) (pdf), subtitulado ‘Introducción al gusano Conficker y su evolución’ que es más bien descriptiva que técnica pero que nos muestra cosas que siempre decimos: Destacar que mientras que el gusano apareció en noviembre, la vulnerabilidad ya había sido previamente solucionada por Microsoft en octubre, ….

Y es que, los parches hay que aplicarlos.

Puedes estar vigilado

Me ha gustado mucho el artículo de Shishir Nagaraja y Ross Anderson sobre The snooping dragon: social-malware surveillance of the Tibetan movement (pdf) donde se analiza un presunto caso de espionaje por parte del gobierno chino a la oficina del Dalai Lama utilizando ingeniería social, troyanos y la poca preparación frente a esas cosas de los tibetanos.

Es muy interesante porque muestra cómo se puede lanzar un ataque de ‘baja’ tecnología, pero completamente dirigido contra alguien, para sacar partido de la información que está disponible en sus computadores; normalmente, lo que sale en los medios son los grandes ataques que ‘tumban’ un montón de computadores provocando poco más que molestias (tiempo y dinero) y pasan desapercibidas estas otras posibilidades. Son mucho menos molestas a nivel general, pero más peligrosas a nivel particular.

En el lado tibetano: información sin cifrar, tráfico sin cifrar, nada de compartimentalización (los computadores con los datos se usan para acceder a internet), gente con acceso a recursos delicados con un perfil ‘alto’ en la red, …

Como dice el artículo, ¿qué pasará cuando los ladrones normales empiecen
a utilizar estas técnicas contra empresas normales?

Una breve ‘historia’ de los troyanos y similares

Si uno prestaba atención a estos temas en los medios generalistas podría pensar que los virus, troyanos y otros ‘bichos’ habían desaparecido. Sin embargo, la teoría mayoritariamente aceptada si se pregunta a cualquier entendido por ahí es que los bichos ahora hacen cosas (malas, normalmente) pero no destruyen la información del disco, ni llegan a molestar demasiado con lo que el usuario poco observador piensa que no están afectados.

Esa tendencia la ha roto (y no sabemos muy bien por qué) conficker, que es un gusano (otro día hablamos más de ello) que si que ha dado el salto a los medios, y está causando daños ‘visibles’. Aprovechando eso, en El top 20 de los virus, una mini-historia de este tipo de problemas producida por Trend Micro (y reproducida en decenas de sitios) pero de la que no encuentro ninguna fuente original.