¡Tienes un virus! ¡Vete!

Siempre me ha parecido sugerente este tema: ¿Qué hacer cuando estás en
disposición de detectar un problema de seguridad en el ordenador de un
usuario?

Lo traigo aquí por la noticia de F-Secure, Three Lessons We’ve Learned From Our Facebook Partnership donde hablan del proyecto en colaboración con Facebook para avisar a los usuarios que tienen algún programa malicioso instalado. No se trata, supongo, de detectar cualquier problema, pero sí sería relativamente fácil para ellos detectar esos troyanos que empiezan a escribir por nosotros en nuestra página, con spam y otras porquerías.
Lo que sí que hacen, si detectan actividad maliciosa es sugerirnos instalar un programita para limpiar el sistema infectado.

En todo caso, sus conclusiones son (claro): que es un problema más complejo, ya desde el momento de decidir si algo es malo o sólo sospechoso; hay problemas con los complementos de los navegadores que son una fuente grande de problemas; y parece que Bitcoin es una de las motivaciones de muchos de los que desarrollan estos programas.

En todo caso, yo quiero ir un poco más allá y preguntarme si esta es la forma adecuada de resolver el problema: una vez que Facebook te avisa de que algo va mal, ¿no existirá la tentación por parte de los ‘malos’ de hacer avisos similares? ¿Qué se instalará en esos casos en nuestros ordenadores?

Finalmente, recordar Malware e ISPs donde se hablaba del caso de los ISPs como posibles actores en este sistema, aislando los equipos problemáticos y también en ¿Tienes malware? ¡Te desconectamos!.

Propagación casera de virus y troyanos por WiFi

No solemos traer temas de actualidad aquí. Principalmente por el retraso en las lecturas y las cosas que van quedando en la lista de ‘esto estaría bien publicarlo y comentarlo’. Pero en esta ocasión acabo de verlo y como habíamos hablado de ello no me resisto a ponerlo. De paso, no rompemos la racha de publicar que más o menos estábamos manteniendo.
Se puede ver un resumen de la información en Camaleon, un virus para puntos de acceso WiFi.
Se trata de un virus ‘de laboratorio’ (más detalles en Detection and analysis of the Chameleon WiFi access point virus) y nos recuerda aquella posibilidad (teórica pero plausible) que comentábamos en su día en Infecciones en red (cuatro años hace).
Ahora, disponible. Aunque sea a nivel de laboratorio.

Básicamente el virus actúa de la siguiente forma:

1 – Establecer una lista de puntos de acceso susceptibles dentro de la localización actual.
2 – Evitar cualquier tipo de seguridad de cifrado del punto de acceso.
3 – Evitar la interfaz administrativa del punto de acceso.
4 – Identificar y guardar la configuración del punto de acceso.
5 – Reemplazar el firmare del punto de acceso en los puntos de acceso vulnerables con firmare cargado por el virus.
6 – Reiniciar el punto de acceso víctima con la configuración del sistema.
7 – Propagar el virus (volver a 1).

¿Malware para GPUs?

Más especulativo que otra cosa, [pdf] GPU-Assisted Malware nos habla de las capacidades de los procesadores gráficos y las posibilidades de ejecutar código malicioso en ellos.

Queda reflejado a título de inventario y porque no es la primera vez que hablamos de posibilidades alternativas de las GPU, como en Utilización de GPUs para análisis de claves.

Aquí también aplicaríamos el principio de Occam (Infecciones en red) y no creo que los ‘malos’ utilicen ataques tan sofisticados (y menos exitosos, en principio, por cuestiones del número de procesadores de este tipo disponibles) cuando los viejos ataques a las viejas CPUs siguen funcionando tan bien.

Humanos y virus informáticos

Es un tema que habíamos comentado de pasada. En Primer humano “infectado” por un virus de computadora nos hablan del caso de Mark Gasson, que se implantó un chip de identificación por radio frecuencia (RFID) y lo infectó con un virus de ordenador, como cuentan en Could humans be infected by computer viruses?.
A partir de allí elucubran con la posibilidad de transmitir el virus a otros dispositivos.
En esta línea de infecciones hipotéticas pero complicadas, comentamos en su día aquello de Infecciones en red.

Naturalmente, el principio de la Navaja de Occam nos dice que hay formas más fáciles de causar perjuicios, pero recordemos que la cantidad de dispositivos programables que hay a nuestro alrededor sin demasiada seguridad es grande (y creciendo) como veíamos, por ejemplo, en ¿Pueden atacar tu coche?.

10 años de I love you

En Loveletter 2000-2010 nos recuerdan que hoy hace diez años del ‘lanzamiento’ de este gusano que se difundió por todo el mundo en cuestión de minutos: utilizaba la agenda de contactos, un poco de visual basic y necesitaba que lo abriéramos para propagarse: siempre me ha sorprendido mucho que se propagara tanto por estos lares. Yo entiendo que si recibes un mensaje de alguien que dice ‘I love you’ y tu lengua nativa es el inglés la cosa pueda tener su interés. Pero si normalmente recibes mensajes en otro idioma, un mensaje así puede ser como para sospechar.

Como dicen los de f-secure en aquel momento uno de estos bichitos era noticia de primera página; ahora creo que ya no, pero en parte porque son mucho más silenciosos y la mayoría de la gente ni siquera llega a notar que está infectada.

Windows 7 vulnerable frente a la mayoría de los virus

Lo cuentan en Windows 7 vulnerable to 8 out of 10 viruses. La verdad es que el titular es escandaloso porque justamente probaron con diez ejemplares, lo que no significa que eso pueda generalizarse de manera estadística. Además son datos de Sophos, que vende productos antivirus y de seguridad, con lo que habría que tomarlos con una pizca de sal.
Pero lo que está claro es que de los diez ‘bichitos’ probados y en ausencia de un antivirus protector, dólo dos no funcionaron y no consiguieron hacer nada.

Mientras tanto, Bruce Schneier nos recuerda en Is Antivirus Dead? que aunque no son la mejor solución del mundo y que no podemos quedarnos completamente tranquilos con uno, no es mala idea tenerlos.

La propagación de la información

Me encantó leer Rumorología antivirus que nos muestra como, en un mundo pequeño y cerrado, la información puede propargarse bien aunque sea mala: se trata de la historia del “AlertVir”, un producto de seguridad que algunos antivirus empezaron a detectar como peligroso y que nadie ‘defendió’, de manera que el resto de empresas empezaron a incluir en sus firmas mencanismos para detectarlo y señalarlo como malicioso.

A las empresas les traía más cuenta seguir a la manada que preocuparse de un producto que no conocían y en el que tendrían que invertir tiempo y recursos para determinar que era inocuo.

Un compilador que infecta los binarios

En mis cursos de diseño de aplicaciones seguras es una lectura recomendada el Reflections on trusting trust (pdf) de Ken Thompson: al final tienes que confiar en en algo porque, él hipotetizaba, podrían darte el compilador manipulado y cualquier binario generado con ello podría infectarse y tendríamos un sistema inseguro.

Nos lo recuerdan en Virus que infectan compiladores y un caso que parece ser que está de actualidad porque hay compiladores de Delphi que harían realidad aquella especulación: una vez infectados generan binarios infectados (se han detectado incluso virus y troyanos infectados, si todo lo que se cuenta es cierto). Hay algunos detalles más en W32/Induc-A virus being spread by Delphi software houses.

La historia de Conficker

El INTECO ha publicado una Historia de Conficker (Downadup) (pdf), subtitulado ‘Introducción al gusano Conficker y su evolución’ que es más bien descriptiva que técnica pero que nos muestra cosas que siempre decimos: Destacar que mientras que el gusano apareció en noviembre, la vulnerabilidad ya había sido previamente solucionada por Microsoft en octubre, ….

Y es que, los parches hay que aplicarlos.

Una breve ‘historia’ de los troyanos y similares

Si uno prestaba atención a estos temas en los medios generalistas podría pensar que los virus, troyanos y otros ‘bichos’ habían desaparecido. Sin embargo, la teoría mayoritariamente aceptada si se pregunta a cualquier entendido por ahí es que los bichos ahora hacen cosas (malas, normalmente) pero no destruyen la información del disco, ni llegan a molestar demasiado con lo que el usuario poco observador piensa que no están afectados.

Esa tendencia la ha roto (y no sabemos muy bien por qué) conficker, que es un gusano (otro día hablamos más de ello) que si que ha dado el salto a los medios, y está causando daños ‘visibles’. Aprovechando eso, en El top 20 de los virus, una mini-historia de este tipo de problemas producida por Trend Micro (y reproducida en decenas de sitios) pero de la que no encuentro ninguna fuente original.