El mercado del malware con fines gubernamentales

Poco que decir pero interesante recordarlo: Gallery: how the surveillance industry markets spyware to governments: empresas que venden a los gobiernos ‘soluciones’ de espionaje y vigilancia.

Ejemplo:

[…] a German company that sells malware for law enforcement investigations. The company’s marketing materials says that its software, which is deployed through zero day exploits, can intercept encryption keys to provide law enforcement agents with access to encrypted communications.

Ya habíamos hablado de malware a medida con diversos objetivos en:

Ataques a medida con hojas de cálculo.
Puedes estar vigilado.
Vigilancia en el Tibet.
Ataques a objetivos concretos.

En todo caso, la novedad ahora sería mostrar la existencia de una industria alrededor de todo esto.

Sobre la difusión de gusanos y otros programas malévolos

En How to 0wn the Internet in Your Spare Time algunas cifras interesantes de difusión de diferentes gusanos y programas maliciosos y cómo algunos se quedan en la red disponibles para infectar a cualquiera que no ande protegido, incluso después de mucho tiempo:

In this paper we have examined the spread of several recent worms that infected hundreds of thousands of hosts within hours. We showed that some of these worms remain endemic on the Internet. We explained that better-engineered worms could spread in minutes or even tens of seconds rather than hours, and could be controlled, modified, and maintained indefinitely, posing an ongoing threat of use in attack on a variety of sites and infrastructures. Thus, worms represent an extremely serious threat to the safety of the Internet. We finished with a discussion of the urgent need for stronger societal institutions and technical measures to control worms, and sketched what these might look like.

Algunos se propagan en minutos o segundos.

¿Malware para GPUs?

Más especulativo que otra cosa, [pdf] GPU-Assisted Malware nos habla de las capacidades de los procesadores gráficos y las posibilidades de ejecutar código malicioso en ellos.

Queda reflejado a título de inventario y porque no es la primera vez que hablamos de posibilidades alternativas de las GPU, como en Utilización de GPUs para análisis de claves.

Aquí también aplicaríamos el principio de Occam (Infecciones en red) y no creo que los ‘malos’ utilicen ataques tan sofisticados (y menos exitosos, en principio, por cuestiones del número de procesadores de este tipo disponibles) cuando los viejos ataques a las viejas CPUs siguen funcionando tan bien.

Vigilancia en el Tibet

Ya hace un año hablábamos en Puedes estar vigilado de un presunto caso de espionaje por parte del gobierno chino a la oficina del Dalai Lama utilizando ingeniería social, troyanos y la poca preparación frente a esas cosas de los tibetanos. con una aproximación más bien técnica.

Ahora se publica (o yo me entero) una versión más ‘burocrática’ del tema en Shadows in the Cloud: Investigating Cyber Espionage 2.0 que, si no estoy equivocado, se refiere más o menos a los mismos hechos, pero no referencia al anterior. De hecho, me ha costado un poco encontrar sitios donde los relacionen como en Espionagem internacional China vs Tibet (GhostNet) e outros países.

Malware e ISPs

Ya habíamos hablado del tema en ¿Tienes malware? ¡Te desconectamos!. Ahora es un ISP norteamericano, Comcast pop-ups alert customers to PC infections: notificarán a los usuarios cuyos PCs detecten que tienen problemas (un cambio repentino de aumento de tráfico, un envío masivo de mensajes de correo electrónico, …) para que puedan tomar las medidas que consideren oportunas.

Ya hacían algo similar en el Qwest Customer Internet Protection Program Increases Security For Broadband Customers, Combats Spread Of Viruses And Malware.

Recordemos que en las propuestas que habíamos visto anteriormente desconectaban a los usuarios (dentro de sus empresas). Aquí los proveedores simplemente proponen notificar: puedo imaginar líos con los falsos positivos y luego problemas cuando los usuarios menos avezados (y los más, para qué nos vamos a engañar) cuando accedan a los servicios de atención al cliente que no siempre les ayudarán adecuadamente (tal vez sí, ojalá me equivoque).

Firefox y el ‘malware’

Me ha parecido bastante interesante Firefox and Malware. When Browsers Attack (pdf): nos habla de los problemas de seguridad que pueden traernos las extensiones del conocido navegador (además pueden ser de utilidada para otros sistemas de distribución de programas y ‘add-ons’). También las medidas que han ido adoptando los desarrolladores para aligerar o evitar estos inconvenientes.

Identificación automática de programas maliciosos

Es un tema que me interesa y me llama la atención y que creo que podrían hacerse cosas intersante. De momento Markus Jakobsson nos presenta el tema en Auto-detecting malware? It’s possible, diciendo que se podrían pensar cosas basándose en:

  • Localización geográfica (algunas redes sociales y páginas web ya nos piden identificación extra cuando ‘detectan’ que no estamos donde solemos estar).
  • Grafo social
  • Tiempo (hora, fecha …)
  • Comportamiento
  • Rendimiento
  • Cambios, velocidad …

Automatizar demasiado las cosas tiene sus riesgos (falsos positivos, molestias, …) pero siempre vienen bien algunos avisos sobre cosas que no están funcionando como deberían.

¿Tienes malware? ¡Te desconectamos!

Alguna empresa ya lo hacía (o decía que lo hacía, por ejemplo, lo contábamos en Gusanos: las defensas de IBM y HP . Me suena haber puesto algún ejemplo más pero no lo encuentro). Ahora nos cuentan una iniaciva en Australia, ¿PC infectado? Fuera de la red en Australia. No tengo muy claro cómo se vería esto por aquí (aunque a los políticos les ronda por la cabeza eso de desconectar a los usuarios de P2P). Supongo que complementado con un buen servicio de desinfección y reconexión podría tener su gracia.

Sin olvidar, claro, que se desconecta a los que tienen lo malo conocido, no las cosas malas que los antivirus/detectores y otros cacharritos no son capaces de detectar en un momento dado. Y sin olvidar también que siempre puede haber falsos positivos (gente que de positivo en las alertas sin estar infectado ni ser infecciosa).

Un compilador que infecta los binarios

En mis cursos de diseño de aplicaciones seguras es una lectura recomendada el Reflections on trusting trust (pdf) de Ken Thompson: al final tienes que confiar en en algo porque, él hipotetizaba, podrían darte el compilador manipulado y cualquier binario generado con ello podría infectarse y tendríamos un sistema inseguro.

Nos lo recuerdan en Virus que infectan compiladores y un caso que parece ser que está de actualidad porque hay compiladores de Delphi que harían realidad aquella especulación: una vez infectados generan binarios infectados (se han detectado incluso virus y troyanos infectados, si todo lo que se cuenta es cierto). Hay algunos detalles más en W32/Induc-A virus being spread by Delphi software houses.

Palabras infecciosas

Considero el Una al día de Hispasec una lectura altamente recomendable. Es una sabia mezcla entre contenido técnico y no tanto que nos ayuda a estar al tanto del panorama de la actualidad en el mundillo de la seguridad y en nuestro idioma.

Me gustó la entrada de hace unas semanas Las palabras más infecciosas, donde se hacen eco de un estudio de McAfee:

McAfee ha buscado 2.658 palabras y frases en 413.368 URLs para comprobar qué términos pueden exponer al usuario a un mayor número de direcciones que alojen malware o fraudes. Concluye que todas las búsquedas que incluyan la palabra “free” (en este contexto, sería “gratis”) tienen un mayor riesgo (un 21%) mientras que las más seguras suelen ser las búsquedas relacionadas con términos médicos o de salud.

Para mucha gente internet es el buscador, así que parece bastante relevante el dato relacionado con las palabras ‘infecciosas’.