¡Tienes un virus! ¡Vete!

Siempre me ha parecido sugerente este tema: ¿Qué hacer cuando estás en
disposición de detectar un problema de seguridad en el ordenador de un
usuario?

Lo traigo aquí por la noticia de F-Secure, Three Lessons We’ve Learned From Our Facebook Partnership donde hablan del proyecto en colaboración con Facebook para avisar a los usuarios que tienen algún programa malicioso instalado. No se trata, supongo, de detectar cualquier problema, pero sí sería relativamente fácil para ellos detectar esos troyanos que empiezan a escribir por nosotros en nuestra página, con spam y otras porquerías.
Lo que sí que hacen, si detectan actividad maliciosa es sugerirnos instalar un programita para limpiar el sistema infectado.

En todo caso, sus conclusiones son (claro): que es un problema más complejo, ya desde el momento de decidir si algo es malo o sólo sospechoso; hay problemas con los complementos de los navegadores que son una fuente grande de problemas; y parece que Bitcoin es una de las motivaciones de muchos de los que desarrollan estos programas.

En todo caso, yo quiero ir un poco más allá y preguntarme si esta es la forma adecuada de resolver el problema: una vez que Facebook te avisa de que algo va mal, ¿no existirá la tentación por parte de los ‘malos’ de hacer avisos similares? ¿Qué se instalará en esos casos en nuestros ordenadores?

Finalmente, recordar Malware e ISPs donde se hablaba del caso de los ISPs como posibles actores en este sistema, aislando los equipos problemáticos y también en ¿Tienes malware? ¡Te desconectamos!.

Propagación casera de virus y troyanos por WiFi

No solemos traer temas de actualidad aquí. Principalmente por el retraso en las lecturas y las cosas que van quedando en la lista de ‘esto estaría bien publicarlo y comentarlo’. Pero en esta ocasión acabo de verlo y como habíamos hablado de ello no me resisto a ponerlo. De paso, no rompemos la racha de publicar que más o menos estábamos manteniendo.
Se puede ver un resumen de la información en Camaleon, un virus para puntos de acceso WiFi.
Se trata de un virus ‘de laboratorio’ (más detalles en Detection and analysis of the Chameleon WiFi access point virus) y nos recuerda aquella posibilidad (teórica pero plausible) que comentábamos en su día en Infecciones en red (cuatro años hace).
Ahora, disponible. Aunque sea a nivel de laboratorio.

Básicamente el virus actúa de la siguiente forma:

1 – Establecer una lista de puntos de acceso susceptibles dentro de la localización actual.
2 – Evitar cualquier tipo de seguridad de cifrado del punto de acceso.
3 – Evitar la interfaz administrativa del punto de acceso.
4 – Identificar y guardar la configuración del punto de acceso.
5 – Reemplazar el firmare del punto de acceso en los puntos de acceso vulnerables con firmare cargado por el virus.
6 – Reiniciar el punto de acceso víctima con la configuración del sistema.
7 – Propagar el virus (volver a 1).

¿Deberían los proveedores de acceso desconectar a los usuarios infectados?

Este es un tema que reaparece de vez en cuando (la última vez que lo tratamos aquí fue en ¿Tienes malware? ¡Te desconectamos!, pero anteriormente había más como atestigua el primer enlace). En esta ocasión lo vemos en Should ISPs Cut Off Bot-infected Users?, que apunta a Should ISPs cut off bot-infected users? donde se vuelve al viejo tema.

Al final, parec que la historia se repite en todos sus detalles: hay quien está dispuesto a avisar, pero no a cortar: Comcast Pushes Bot Alert Program Nationwide.

¿Y qué sucedería si eso se aplicara en España? Si hacemos caso a los titulares de hoy mismo habría que desconectar a un montón de internautas: España es el tercer país del mundo con más ordenadores zombis.

¿Malware para GPUs?

Más especulativo que otra cosa, [pdf] GPU-Assisted Malware nos habla de las capacidades de los procesadores gráficos y las posibilidades de ejecutar código malicioso en ellos.

Queda reflejado a título de inventario y porque no es la primera vez que hablamos de posibilidades alternativas de las GPU, como en Utilización de GPUs para análisis de claves.

Aquí también aplicaríamos el principio de Occam (Infecciones en red) y no creo que los ‘malos’ utilicen ataques tan sofisticados (y menos exitosos, en principio, por cuestiones del número de procesadores de este tipo disponibles) cuando los viejos ataques a las viejas CPUs siguen funcionando tan bien.

Stuxnet: de la red al mundo físico

Parece que el tema de este verano ha estado siendo Stuxnet, un gusano que anda propagándose por ahí y que, como novedad, incluye un rootkit para PLC’s: esencialmente, si se dieran las condiciones adecuadas podría atacar entornos industriales ya que estos dispositivos controlan máquinas y otros sistemas.

Por lo demás, casi todo son elucubraciones y cosas que se piensa que
podrían pasar. Algunos enlaces:

• Stuxnet: el ‘ciber-arma’ que se los esta poniendo por corbata a media comunidad de seguridad e inteligencia
• DEADF007 – Is Stuxnet The Secret Weapon To Attack Iran’s Nukes; Is A Virus About To Revolutionize Modern Warfare?
• Stuxnet malware is ‘weapon’ out to destroy … Iran’s Bushehr nuclear plant?
  
• The Stuxnet Worm
• Stuxnet: the first weaponized software?

Y podríamos relacionarlo con dos tipos de entrada que hemos puesto por aquí de vez en cuando: sistemas inseguros porque no se piensa que nadie vaya a atacarlos, como aquella historia de Más ataques a coches y los enlaces que allí se contienen o Los electrodomésticos y la seguridad.
La otra línea serían los ataques dirigidos, como los que se comentaban en Ataques a objetivos concretos.

10 años de I love you

En Loveletter 2000-2010 nos recuerdan que hoy hace diez años del ‘lanzamiento’ de este gusano que se difundió por todo el mundo en cuestión de minutos: utilizaba la agenda de contactos, un poco de visual basic y necesitaba que lo abriéramos para propagarse: siempre me ha sorprendido mucho que se propagara tanto por estos lares. Yo entiendo que si recibes un mensaje de alguien que dice ‘I love you’ y tu lengua nativa es el inglés la cosa pueda tener su interés. Pero si normalmente recibes mensajes en otro idioma, un mensaje así puede ser como para sospechar.

Como dicen los de f-secure en aquel momento uno de estos bichitos era noticia de primera página; ahora creo que ya no, pero en parte porque son mucho más silenciosos y la mayoría de la gente ni siquera llega a notar que está infectada.

Controlar una botnet desde Google Groups

En Researchers Discover Botnet Commanded by Google Groups cuentan de un caso de una botnet controlada desde los Grupos de Google (listas de correo y algunas herramientas más). Tradicionalmente las botnets se controlaban mediante el IRC, aunque también habíamos leido de controles usando Twitter.

La historia de Conficker

El INTECO ha publicado una Historia de Conficker (Downadup) (pdf), subtitulado ‘Introducción al gusano Conficker y su evolución’ que es más bien descriptiva que técnica pero que nos muestra cosas que siempre decimos: Destacar que mientras que el gusano apareció en noviembre, la vulnerabilidad ya había sido previamente solucionada por Microsoft en octubre, ….

Y es que, los parches hay que aplicarlos.

Puedes estar vigilado

Me ha gustado mucho el artículo de Shishir Nagaraja y Ross Anderson sobre The snooping dragon: social-malware surveillance of the Tibetan movement (pdf) donde se analiza un presunto caso de espionaje por parte del gobierno chino a la oficina del Dalai Lama utilizando ingeniería social, troyanos y la poca preparación frente a esas cosas de los tibetanos.

Es muy interesante porque muestra cómo se puede lanzar un ataque de ‘baja’ tecnología, pero completamente dirigido contra alguien, para sacar partido de la información que está disponible en sus computadores; normalmente, lo que sale en los medios son los grandes ataques que ‘tumban’ un montón de computadores provocando poco más que molestias (tiempo y dinero) y pasan desapercibidas estas otras posibilidades. Son mucho menos molestas a nivel general, pero más peligrosas a nivel particular.

En el lado tibetano: información sin cifrar, tráfico sin cifrar, nada de compartimentalización (los computadores con los datos se usan para acceder a internet), gente con acceso a recursos delicados con un perfil ‘alto’ en la red, …

Como dice el artículo, ¿qué pasará cuando los ladrones normales empiecen
a utilizar estas técnicas contra empresas normales?

Una breve ‘historia’ de los troyanos y similares

Si uno prestaba atención a estos temas en los medios generalistas podría pensar que los virus, troyanos y otros ‘bichos’ habían desaparecido. Sin embargo, la teoría mayoritariamente aceptada si se pregunta a cualquier entendido por ahí es que los bichos ahora hacen cosas (malas, normalmente) pero no destruyen la información del disco, ni llegan a molestar demasiado con lo que el usuario poco observador piensa que no están afectados.

Esa tendencia la ha roto (y no sabemos muy bien por qué) conficker, que es un gusano (otro día hablamos más de ello) que si que ha dado el salto a los medios, y está causando daños ‘visibles’. Aprovechando eso, en El top 20 de los virus, una mini-historia de este tipo de problemas producida por Trend Micro (y reproducida en decenas de sitios) pero de la que no encuentro ninguna fuente original.