Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 7 de septiembre de 2007

EL PRECIO DEL DESINTERES
Jorge Alejandro Mieres

Sólo hay dos cosas infinitas: El Universo y la estupidez humana.
Y no estoy tan seguro de la primera.
Albert Einstein

Todas aquellas personas que se desempeñan en el ámbito de Seguridad Informática coinciden en que el eslabón más débil de la seguridad esta constituido por los usuarios. Y a medida que el tiempo avanza, este pensamiento se afirma aún más.

Esta situación se ve reflejada por la falta de información y conocimiento que al respecto poseen los usuarios y, gracias al accionar de los códigos maliciosos quienes constituyen uno de los principales problemas de seguridad como así también uno de los principales motivos que causan mayores perdidas de índole económicas a nivel mundial.

En este aspecto, la falta de concientización es muy preocupante, y esto se puede percibir con mucha claridad al hablar puntualmente de seguridad antivirus.

Es por ello que cada día las iniciativas y campañas a través de páginas web y otro tipo de recursos que intentan ayudar, a través de concejos y tutoriales, a mitigar las acciones de las amenazas más difundidas y conocidas.

Este escenario no es casual, el objetivo es, simplemente, que cada día haya más usuarios capacitados y menos usuarios infectados y estafados por las amenazas actuales.

Los virus informáticos llevan entre nosotros un par de décadas, han evolucionado y esa evolución se traduce en una simple palabra muy nombrada en la actualidad, malware, una categoría de amenazas informáticas que engloba lo que conocemos como troyanos, gusanos, rootkits, backdoors, spyware y demás código maliciosos.

Cada día son más las amenazas de este tipo que circulan por la gran red de redes intentando “cazar” de alguna manera, por lo general a través de técnicas de Ingeniería Social, a aquellos usuarios que no se encuentran lo suficientemente informados para infectar sus computadoras.

Y crean en la afirmación que están apunto de leer: los usuarios caen a granel.

Bajo esta situación, una de las cosas que más llama la atención es el hecho de que prácticamente ya no se ven códigos maliciosos que innoven en cuanto a sus acciones, es decir, la generalidad de malware sigue utilizando las mismas técnicas y metodologías de infección que utilizaban hace 10 años atrás.

Incluso, explotando vulnerabilidades que se solucionaron hace mucho tiempo, y de las cuales existe mucha y muy buena documentación a fin de mitigarla.

Estas técnicas y metodologías suelen seguir un mismo patrón y por lo general se diseminan a través de algún medio de comunicación masiva, siendo el correo electrónico uno de los canales más explotados por los programadores malintencionados y por los diseminadores de códigos maliciosos.

A modo didáctico, podemos tipificar a través de un simple y común ejemplo unos de los ciclos más comunes en lo que a diseminación de malware se refiere:

Por intermedio del correo electrónico, o algún cliente de mensajería instantánea, llega un mensaje (en un idioma que no es el que cotidianamente manejamos) conteniendo un enlace que dice algo así como “click here” o “si haces clic aquí te infectarás”. Como buenos seres humanos y siendo fieles a nuestra naturaleza compulsiva, se hace clic sobre dicho enlace y se descarga un archivo llamado “mis_fotos.exe” que luego es ejecutado para poder ver las tan ansiadas fotos. Acto seguido, y al ver que la foto no se abre, lo primero que se piensa es: ¡Eh! ¡Que pasa! Bueno, el archivo debe estar corrupto. Lo vuelvo a descargar. Y en este inconsciente accionar estamos instalando, sin ninguna objeción, un malware.

Aunque parezca muy trivial, este ejemplo refleja la situación real y actual de lo que ocurre con muchos usuarios, por más que a algún lector el ejemplo le resulte sarcástico o irónico.

Entonces, una de las primeras preguntas que surge bajo esta problemática es: ¿porqué cada día hay más usuarios que se transforman en víctimas de las trampas sembradas por personas malintencionadas a través de códigos maliciosos?

Aunque la pregunta parezca compleja y dé la sensación de que la respuesta debería seguir esa idea y ser demasiado complicada y difícil de entender, no es así.

Si se toma como premisa que la mayoría de las infecciones provocadas por la gran gama de códigos maliciosos es evitable con sólo prevenir, el tema se simplifica bastante. Por ende, el problema de infecciones debería ser mínimo.

Esto no significa que se debe subestimar al malware ni crear una falsa sensación de seguridad para minimizar el peligro, sino, que tengamos en cuenta que la principal causa de que los códigos maliciosos se sigan propagando es nuestra conducta. Al hacer doble clic sobre enlaces de procedencia dudosa, al no explorar con un buen antivirus los archivos que se descargan, al navegar por páginas web “fuera de lo común” o maliciosas y otras situaciones que para describirlas se tendría que escribir varias hojas.

En este aspecto y en forma radicalmente distinta, la versión utópica de esta situación sería JAMAS abrir ni ejecutar ningún archivo, correo electrónico, página web que no se haya solicitado, explorar cada archivo descargado con un antivirus actualizado y mantener al día nuestro sistema operativo con los parches correspondientes como así también aquellos programas que manejamos con frecuencia.

En base a esto, la segunda pregunta que nos podríamos hacer es: ¿cómo se puede prevenir el malware? Si bien esta pregunta es mucho más corta que la primera, no deja de tener una respuesta sencilla que se resume con una sola y simple palabra: educación.

La mayoría del malware necesita de la intervención del usuario para lograr sus objetivos de infección y propagación, así que por ello es de capital importancia la capacitación en los usuarios, ya que el mejor método de prevención es conocer como se “mueve” el malware, más allá de la implementación de cualquier solución antivirus. Con ello se logrará crear nuevos y buenos hábitos de conducta que nos ahorrarán tiempo y simplificarán bastante los dolores de cabeza de los usuarios y administradores de redes.

“El que no sabe es como el que no ve”, por ende, aquellos usuario que no tengan mínimos conocimientos sobre el impacto que genera, no sólo en su computadora sino que también a nivel global, un simple clic sobre un enlace de procedencia dudosa, jamás logrará deshacerse del malware y mucho menos prevenir una potencial infección.

Los buenos hábitos de conducta siempre tienen buenos frutos ya que la única ambición que se persigue con ellos es hacer un uso seguro, responsable e inteligente de los sistemas, lo que equivale a garantizar una mejor y eficaz protección contra todo tipo de códigos maliciosos.

En conclusión
Como se mencionó líneas arriba, basta con seguir unas simples y sencillas normas de conducta para evitar en gran parte la propagación de códigos maliciosos.

Lograr que se tome conciencia de la problemática que implica ser “pioneros del doble clic” no es una tarea fácil y una cuota muy importante de responsabilidad esta bajo las manos de los usuarios.

Un justo pensamiento podría ser replantearse algunas cuestiones a fin de fortalecer la seguridad no sólo de los equipos sino también de los datos almacenados en él, y bajo una actitud proactiva intentar defenderse de los códigos maliciosos.

Plantearse también qué habrá querido decir el Sr, Einstein con la frase que se expuso al comienzo del artículo, podría ser una de esas cuestiones a replantearse. Tal vez sea un buen punto de reflexión a considerar a la hora de ver cual es la mejor forma de protegerse de los diferentes códigos maliciosos que existen y que cada día aparecen.

La prevención es el único remedio que evita en gran parte esta enfermedad, hay que tenerlo en cuenta siempre.

** También puede ser descargado en formato PDF desde la sección Papers. **
jam

Ver más

SERIE RETRO: LO QUE DEJO LA HISTORIA (IV)
Cuando se creía que los virus informáticos sólo eran capaces de propagarse e infectar computadoras a través de archivos ejecutables del tipo .exe o .com, surge durante 1995 una nueva modalidad de infección mediante la cual los desarrolladores de virus podían infectar archivos que permitieron ejecutar cierto tipo de lenguaje de programación.

Esta característica dio origen a una nueva generación de virus informáticos clasificados como “Macro virus” que, a diferencia de los virus tradicionales que sólo infectaban archivos ejecutables, infectaban archivos de texto.

Las macros son secuencias de instrucciones (script) que pueden estar escritas en algún lenguaje de programación en particular y que, según el programa para el que se lo utilice, permiten automatizar determinadas tareas y configurar ciertos parámetros en los mismos.

El virus llamado “Melissa”, cuya propagación se inició durante en marzo de 1999 a través del correo electrónico, es un malware de macro que aprovecha la posibilidad de embeber porciones de código en archivos de la suite ofimática de Microsoft en sus versiones MS Office 97 y 2000 para infectar los documentos creados con MS Word.

Melissa fue desarrollado en lenguaje Microsoft Visual Basic por David L. Smith, un programador nativo del estado de New Jersey, Estados Unidos, quien al momento de su detención por este hecho manifestó que desarrolló el virus en su departamento y que lo llamó Melissa en memoria a una bailarina de topless que vivía en el estado de Florida.

Al ser ejecutado, y para cerciorarse que su código viral contagiara a todos los documentos de Word, este virus infecta la plantilla de documento llamada normal.dot, la cual
guarda los valores y macros predeterminadas del procesador de textos.

Cuando desde una computadora infectada se abre una versión diferente del documento infectado, Melissa recurre a la opción de conversión incorporada en la versión 2000 del paquete de oficina para lograr compatibilidad con el archivo a infectar. En este momento el código malicioso desactiva la protección contra virus que posee MS Office 2000.

Aprovechando rutinas de Visual Basic logra acceder a MS Outlook y se auto envía adjuntándose a las primeras cincuenta direcciones de e-mail que el usuario infectado tenga como contacto por todas las cuentas configuradas en su equipo, y así sucesivamente para continuar con la propagación. Es decir, envía 50 mensajes por cada cuenta configurada en el MS Outlook. Si el usuario posee dos cuentas, Melissa enviará 100 mensajes.

También, para asegurar que su código se enviará sólo una vez desde la máquina infectada, manipula el registro del sistema y verifica la siguiente clave:

HKEY_CURRENT_USER\Software\Microsoft\Office
Melissa? = ... by Kwyjibo

Si la clave ya existe en el registro del sistema no se auto enviará.

El Melissa se difunde a través de un e-mail con el asunto “Important message from...” conteniendo en el cuerpo el mensaje “Here is that document you asked for ... don't show anyone else ;-)”(En castellano: este documento fue solicitado por usted…no se lo muestre a nadie más).Esta técnica de Ingeniería Social aún es muy utilizada en la actualidad por muchos tipos de malware.

El archivo adjunto infectado por el Melissa puede ser cualquiera de los documentos MS Word que el usuario comprometido tenga en su computadora incluso el documento de Word que tenga abierto en el momento en que el virus ejecuta su módulo de reproducción.

Por otro lado, cada vez que en la computadora infectada existe una coincidencia entre el día del mes y los minutos marcados por el reloj del sistema, se activa una rutina mediante la cual el virus inserta en el documento abierto el siguiente texto:

Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.

Esta frase hace referencia al juego Screbble y está sacada de uno de los capítulos de Los Simpsons.

Dentro del código fuente del virus se encuentran los siguientes comentarios:

WORD/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You decide!
Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

Si bien existen códigos maliciosos mucho más peligrosos que el Melissa, lo realmente llamativo de este virus fue la repercusión que tuvo en los medios de comunicación al propagarse e infectar en forma masiva gracias a la infraestructura que proporciona Internet dando lugar al inicio a una nueva modalidad de infección basada en lenguaje Visual Basic Script (VBS) denominados gusanos de Internet.

Otro código malicioso que aprovecha las características del lenguaje de programación VBS (Visual Basic Script) es el que se difundió seis meses después que el Melissa, bajo el nombre de BubbleBoy, pero que a diferencia de Melissa, fue el primer código malicioso capaz de ejecutarse e infectar sin la intervención del usuario, es decir, sin que el usuario lo ejecute.

BubbleBoy llega a través del correo electrónico sin contener archivos adjuntos, característica que era común durante el año de su aparición, en formato HTML y fue desarrollado de manera tal que infecta los sistemas con el sólo hecho de leer el e-mail e incluso con sólo acceder a la vista previa del mensaje.

Para lograrlo, este código viral aprovecha una vulnerabilidad que presentaba el formato MIME[1] (Multipurpose Internet Mail Extensions - Extensiones Multipropósito del Correo Internet) en las aplicaciones de correo MS Exchange, Outlook, Outllok Express e Internet Explorer. Sólo infecta computadoras que tengan Internet Explorer en su versión 5 y Windows Scripting Host (WSH) instalados.

El mensaje recibido posee el asunto “BubbleBoy is back! (BubbleBoy esta de regreso!)” y en el cuerpo del mismo se encuentra la siguiente leyenda:

The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

Cuando el BubbleBoy se activa, y con la finalidad de asegurar su ejecución en cada inicio de la computadora, crea en la carpeta Inicio del sistema (generalmente C:\WINDOWS\Menú Inicio\Programas\Inicio) el archivo UPDATE.HTA.

Luego de reiniciarse, el código malicioso realiza una serie de acciones en el registro de Windows que consisten básicamente en modificar las claves ubicadas en:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RegisteredOwner cambiándola por Bubbleboy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RegisteredOrganization cambiándola por Vandelay Industries.

Otras características que comparte con el virus Melissa consisten en; su capacidad de auto enviarse a través del correo electrónico a todos los contactos de todas las libretas de direcciones que la máquina infectada tenga almacenadas en el Outlook; la manipulación del registro para crear una clave que le permita verificar si ya se envió para no volver a repetir el envío.

Tanto el Melissa como el Bubbleboy representaron nuevos métodos de infección y propagación conocidos no sólo por sus acciones víricas y maliciosas sino también por ser códigos innovadores dentro del mundo que constituyen lo que en la actualidad denominamos malware, logrando romper algunos viejos mitos implantados en la creencia de los usuarios.

Como de costumbre e incentivando al usuario a la actualización de su conocimiento a través de capacitación continua, ESET Latinoamérica ha desarrollado una Plataforma Educativa, gratuita y en línea, para todos los interesados en conocer cuestiones relacionadas con la seguridad de los sistemas.

Por otro lado, siempre es recomendable la utilización de una solución antivirus con propiedades proactivas como las ofrecidas por ESET NOD32, que nos mantengan seguros del alcance de estos y muchos otros tipos de amenazas.


Más información:
[1] Plataforma Educativa de ESET
http://edu.eset-la.com

[2] Cronología de los virus informáticos
http://www.eset-la.com/threat-center...s-informaticos

[3] Serie retro: “lo que nos dejó la historia” I
Serie retro: lo que dejó la historia (I)


[4] Serie retro: “lo que nos dejó la historia” II
Serie retro: lo que dejó la historia (II)

[5] Serie retro: “lo que nos dejó la historia” III
Serie retro: “Lo que dejó la historia” (III)


[1] MIME: especificaciones que permiten intercambiar a través de Internet todo tipo de archivos.

Fuente: http://www.psicofxp.com

Ver más