Existe una categoría de aplicaciones denominada malware (malicious software) que tienen como objetivo realizar o desencadenar alguna acción que provoque un “daño” a la máquina expuesta. Siguiendo esta condición, los troyanos, spyware, keylogger y demás, quedan encuadrados junto con los virus entre los programas maliciosos. Algunas veces las líneas divisorias que determinan si un programa es dañino, no quedan demasiado definidas, por ejemplo una “cookie” que originalmente podemos considerar como inofensivo, pueden convertirse en una trampa mortal para un usuario desprotegido, al igual que puede pasar con los “jokes” (programa broma). Al igual que en casi todos los campos de conocimiento, cuando hablamos de virus, gusanos, troyanos, spyware y cualquier derivado relacionado con malware en general, escuchamos y leemos numerosos mitos, definiciones y explicaciones vagas. Estas sobre todo añaden confusión al usuario final (no técnico) a la hora de emprender acciones para proteger sus equipos. Vamos a dar unas breves definiciones de los conceptos para que los usuarios finales conozcan un poco mejor los diversos tipos de bichos y puedan asi proteger mejor sus equipos. VIRUS La evolución de los virus se ha producido no sólo en las propias aplicaciones, sino también en el desarrollo y despliegue que los mismos llevan a efecto sobre las máquinas y las consiguientes consecuencias producidas. Básicamente los tiempos de implantación de un virus se corresponden con sus homónimos biológicos. Fase de ocultación. El programa se oculta con objeto de disfrazar su presencia, haciendo posible que éste pase desapercibido hasta que se cumplan las condiciones necesarias para que se desencadene la siguiente fase. Fase de contagio. En función de los procesos que se desencadenan en la máquina: ejecución de un .exe, arranque de la máquina, inicio de un servicio, etc., el virus comienza su proceso de replicación y propagación a través del entorno. Fase de ataque. La última y más definitoria de las fases. En definitiva es la que determina lo efectos maliciosos provocados sobre la máquina atacada. Algunos virus no ejercen una acción maligna, sino que su única consecuencia directa es el propagarse sin otro fin o con fines no especialmente dañinos, como aquellos ejecutan una subrutina para lanzar un texto o una imagen. Por el contrario, otros eliminan información, ejercen acciones perniciosas sobre el hardware del equipo o simplemente se replican hasta que ocupan toda la memoria o el espacio libre en disco, produciendo finalmente la denegación de servicio de los mismos. Una evolución natural de los virus aprovechando la aparición de nuevas tecnologías, lo constituyen los gusanos. Estos no atacan directamente al sistema, sino que su condición los obliga a replicarse ininterrumpidamente hasta que saturan los recursos de la máquina y producen la caída de los mismos y finalmente del sistema. La diferencia fundamental respecto de los virus reside en que mientras que éstos infectan y se replican sobre otros ficheros, los gusanos hacen copias de ellos mismos. Algunos especimenes de gusanos se han hecho especialmente famosos especialmente a partir de haber aparecido en los medios de información. Estos “curiosos” programas presentan capacidades para utilizar las últimas tecnologías con objeto de distribuirse sistemáticamente. Para ello aprovechan el uso del correo electrónico, las redes peer to peer o explotan las debilidades del entorno de trabajo. Normalmente llevan consigo potentes motores de programación que permiten crear por ellos mismos conexiones con objeto de distribuirse metódicamente por toda una red, haciendo muy complicada su erradicación total. Blaster, Sobig, Passer o Kibuv son algunos ejemplos. Según ICSA Labs, el malware está causando grandes costes económicos a las empresas. Este coste se incrementó en un 23 % el en año 2003. Los factores que favorecen el crecimiento de Departamento Gallego de Informática Tfno:986493000 www.dgi-sll.com los índices de infección incluyen nuevos tipos de virus cada vez más complejos, ficheros compartidos y nuevos vectores de replicación. TROYANOS Su nombre deriva de la argucia de Ulises, los griegos consiguen tomar la ciudad de Troya introducidos en un caballo de madera, este tipo de programas crean una puerta falsa en nuestro sistema para que se pueda ejecutar código de forma remota sin necesidad de disponer de nuestro consentimiento. Realmente la funcionalidad de este tipo de programas se materializa en una arquitectura cliente-servidor, donde el servidor se convierte en la víctima y el atacante utiliza la parte cliente para ejecutar órdenes en la máquina infectada. Básicamente un troyano difiere poco de una aplicación de control remoto. Las infraestructuras utilizadas son coincidentes, es por eso que algunos escaners de vulnerabilidades identifican aplicaciones de gestión remota comerciales con alertas de seguridad, aunque sus objetivos sean diametralmente opuestos. En función de estas pautas originales no podríamos considerar estas aplicaciones como virus propiamente dichos, aunque la evolución de los mismos provoca que la aplicación servidor se copie automáticamente en la máquina a infectar, ejecute procesos y modifique el registro sin consentimiento “relativo” del usuario. Una de las curiosidades principales de este tipo de malware es su metodología de infección. Llegan normalmente a la víctima de forma enmascarada o mezclada con otro programa que pueda resultar suculento o interesante. A tal fin se utilizan programas tipo “joiner”, que hacen que el programa trampa se ejecute en primer plano y el usuario pueda interactuar con él, mientras que por debajo se está produciendo la infección vírica. “Calimocho” es un programa de factoría nacional que es capaz de mezclar aplicaciones. Cuando se ha producido la infección, el troyano se ejecuta como proceso en la máquina objetivo, se copia a alguna ubicación del disco duro y crea un nuevo valor de registro para que ejecute nuevamente el ciclo cuando se reinicie la máquina. El proceso utiliza generalmente la ingeniería social para enmascararse a la vista del usuario, normalmente su nombre está directamente relacionado con el entorno de trabajo o disimulado con un nombre similar a procesos comunes: por ejemplo svchost.exe. Esto realmente produce la apertura de un puerto, situando a la máquina en modo de escucha y permite interactuar a la aplicación cliente con el servidor troyano. Las acciones que por lo tanto se puedan desencadenar, dependerán de las opciones que incluya el troyano, aunque básicamente se dividen en dos: Acciones visibles. Aquellas en las que el atacante se muestra abiertamente: apertura del CD-ROM, control del ratón, ejecución de aplicaciones, ejecuciones de sonido, etc. Acciones en sombra. El hacker recoge o modifica información en la máquina sin que el atacado sea conciente de ello: registro de pulsaciones de teclas (keylogger), transferencia de ficheros, redirecciones de puerto, etc. Evidentemente, de las dos posibilidades mencionadas la segunda tipología es la más peligrosa puesto que al no revelar su condición de forma abierta, permite operar durante mucho tiempo sin que el usuario sea consciente de lo que puede estar ocurriendo. Esta situación es aprovechada para múltiples fines perniciosos: robo de contraseñas, vigilancia y predicción de acciones, consulta y utilización de la información privilegiada de la víctima con otros fines, utilización como plataforma para lanzar ataques desde el ordenador infectado y enmascarar la verdadera identidad del atacante, etc. Las posibilidades que por otra parte ofrece la primera situación son acciones que van enfocadas a fines mucho menos dañinos: gastar bromas, evidenciar las faltas de conocimiento del atacado, tornarse en un juego para el hacker o simplemente aumentar el ego informático de una persona. A pesar de ello no debemos olvidar que esta situación, sino queda resuelta y el virus no es eliminado, deja una puerta trasera abierta para que otros la puedan utilizar. Departamento Gallego de Informática Tfno:986493000 www.dgi-sll.com Evidentemente estos virus troyanos funcionan perfectamente cuando el usuario conecta su máquina directamente a Internet o se mueven dentro de una red de área local, pero se encuentran con un problema cuando se ven en la necesidad de realizar las conexiones a través de Proxy o de Firewall. La evolución en las comunicaciones, a la vez que la proliferación de las redes peer to peer, han conseguido que los troyanos se hayan podido extender con mayor facilidad. Igualmente el aumento del ancho de banda y la cantidad de conexiones que realizan las máquinas, sobre todo hacia Internet, permiten un enmascaramiento mucho más eficiente de sus acciones. También han empezado a proliferar un modelo específico de backdoors denominados Web Trojans basados en programación ASP o PHP. También podemos emplear medidas de tipo preventivo, tales como no ejecutar todo aquello que cae en nuestra máquina, desechar archivos de los que no conocemos su utilidad o han sido proporcionados por fuentes de dudosa confianza. Navegar por Internet con usuarios sin derechos administrativos, para evitar que acciones camufladas tengan consecuencias nefastas sobre nuestra máquina, y desconfiar cuando notemos que en nuestro equipo empiezan a pasar cosas sin una explicación lógica o coherente que no correspondan precisamente con lo que nosotros estuviéramos haciendo. SPYWARE Basado en conceptos propios de los virus, el spyware es un paso más en los programas maliciosos. Básicamente son programas que están diseñados para recopilar información de los hábitos de visitas a páginas Web de los usuarios. Al igual que los troyanos, el spyware se instala en los sistemas oculto en software que a simple vista puede ser inofensivo como programas shareware o freeware que el propio usuario ha descargado de la red o cookies que se han descargado después de haber visitado una página web aparentemente inofensiva. Del mismo modo que un virus, se instalan en el sistema sin permiso del usuario. Entre las acciones que llevan a cabo los programas spyware está la identificación de las visitas a páginas Web, apertura de ventanas anunciando productos o servicios relacionados con lo que se está visitando (Pop-ups), y en los peores casos registros de las pulsaciones de teclado del usuario para robar contraseñas y números de cuentas de tarjetas de crédito (keyloggers). Como efecto colateral el sistema comienza a sufrir con múltiples procesos abiertos que pueden llegar a colapsar la capacidad del procesador. La experiencia del usuario cada vez se deteriora más hasta que resulta casi imposible ejecutar cualquier programa. Es recomendable por lo tanto, no visitar sitios web dudosos o susceptibles de contener spyware, tampoco utilizar sistemas de intercambio de ficheros y redes peer to peer, no abrir correos spam o cuyo remitente no es conocido . Los siguientes son dos ejemplos de algunos de los spyware más extendidos -según CA, Spyware Information Center, en www3.ca.com-: (Etrust Inoculate) Alexa Toolbar. Es un servicio que añade la habilidad de mostrar sitios relacionados a los que el usuario está visitando en ese momento mientras navega en el Web. Lo realiza gracias a un log de sitios visitados y analizando los patrones de comportamiento en la navegación de los usuarios. También utiliza estos registros para crear informes comerciales. El spyware incluye un gestor de Pop-ups y una función de búsqueda en el Web que está se apoya en el motor Google. Cuando se instala el software y mientras se está ejecutando, se instalan cookies en el sistema, la cuales asignan un número de serie único al explorador Web que se está utilizando. Esto habilita al servicio Alexa a reconocer e identificar el explorador Web y los comportamientos de visitas y compras en línea del usuario. Por cada sitio Web que el usuario visita, el software de Alexa transmite y almacena la siguiente información del equipo: Dirección IP, que podría incluir nombre de dominio Departamento Gallego de Informática Tfno:986493000 www.dgi-sll.com La URL completa del sitio que se está visitando Información general del explorador Información general del sistema operativo Número de cookie de Alexa Hora y fecha de la información que se está registrado Gator. Gator es el software principal de GAIN (Gator Advertising Information Network). Es una red de publicidad que desarrolla campañas de marketing mediante el uso de adware desarrollado por la Corporación Gator. Esta red se basa en un acuerdo de permiso de instalación que se incluye junto con otros programas freeware de empresas participantes como Kazaa. Gator se compone de: Gator: El programa principal que además auto completa formularios Web OfferCompanion: Módulo de spyware publicitario. Se encarga de recolectar información de los hábitos de navegación del usuario. Además se encarga del envío de dicha información y de bajar y mostrar los pop up al usuario. Trickler: (fsg.exe, fsg-ag.exe, fsg*.exe) Trickler genera una entrada de ejecución en el registro del sistema para que automáticamente y sin conocimiento del usuario se ejecute cada vez que se inicia el sistema y poco a poco va bajando el resto de los componentes de Gator y OfferCompanion al sistema. Esto lo realiza para no despertar sospechas en los sistemas de detección del usuario, ya que utiliza poco ancho de banda y su actividad es casi inapreciable. GAIN: (GMT.exe, CMESys.exe, GAIN_TRICKLER_*.EXE). Su nombre proviene de Gator Advertising Information Network y es la nueva versión del producto Gator El proceso de proteger al sistema del spyware se basa en dos acciones fundamentales: Escaneo completo del sistema para detectar spyware activo o restos de spyware antiguo Protección en tiempo real para evitar que nuevos intentos de instalación se lleven a cabo. OTROS MALWARE Si la amenaza vírica era uno de los problemas principales a los que se enfrentaba la comunidad IT, ésta ha tenido constancia de la aparición y uso de un gran número de otras aplicaciones que han causado perjuicios notables y daños irreparables en el sector. Las pérdidas económicas y de tiempo que este mal produce afectan tanto al mercado doméstico, como al sector empresarial. Desgraciadamente las cifras que se barajan son preocupantes y la tendencia no es a la baja. Originalmente la amenaza consistía en virus y troyanos, ahora: spyware, mail-bomb, keylogger, dialers, jokes, etc., nos amenazan por muchos frentes uniéndose y conjugando sus tecnologías para ejecutarse de forma más perniciosa. BOMBAS DE CORREO Y BOMBAS LÓGICAS Este tipo de malware tiene una filosofía de actuación similar al SPAM, aunque realmente el fin que persigue no es el mismo. Básicamente las bombas de correo son una serie de aplicaciones que tienen como objetivo atacar el buzón de correo de un usuario hasta conseguir la saturación del mismo. Consiguiendo así la denegación de servicio del buzón, y evitando por lo tanto que el atacado pueda enviar o recibir más correo hasta que la amenaza no sea eliminada. La metodología utilizada, por lo tanto, es el uso de una serie de aplicaciones que se van a encargar de construir los correos y enviarlos hacia Internet. Una de las medidas de protección contra estos mail bomber consiste en configurar el servidor de correo para que no acepte series de ellos cuando procede de la misma fuente. A pesar de ello aplicaciones más avanzadas son capaces de buscar diferentes pasarelas de correo SMTP desprotegidas para reenviar desde allí los e-mail y aparentar de esta forma que los correos proceden de diferentes orígenes evitando la medida de protección y cumpliendo así el objetivo marcado. Adicionalmente estas aplicaciones son capaces de encolar mensajes haciendo posible que Departamento Gallego de Informática Tfno:986493000 www.dgi-sll.com estos queden dispersos por Internet. De este modo, aún comenzando la tarea de limpieza de la bandeja de entrada, éstos seguirían entrando y por lo tanto colapsando el sistema de correo. “Unabomber” o “Avalanche” son algunos de los ejemplos de mail bomber más utilizados en Internet. Si por algún motivo el ataque fuera prolongado y lanzado contra un gran número de buzones de correo de un determinado servidor, no se descarta la posibilidad de que se produzca denegación de servicio completa de todo el servidor. Una evolución natural en este tipo de ataque contra servidores se produce no con el envío masivo de correo, sino con el envío de bombas lógicas o gusanos de correo. La primera forma de actuación consiste en un pequeño programa que ejecuta una rutina cuando se producen una serie de condiciones: fechas, horas, sistemas operativos, tipo o versión de servidor, etc. Fueron creados originalmente para atacar máquinas y explotar debilidades de las mismas, instalar troyanos o producir la denegación de servicio del equipo. La variante de correo consiste en crear una serie de aplicaciones que enviadas mediante el servicio de mensajería, atacan determinadas versiones de servidores que pueden ser vulnerables frente a ellas. Cuando se produce la condición especificada para la bomba, ésta se activa y consecuentemente comienza a actuar. Esto normalmente implica la replicación del correo hasta que se produce la saturación del buzón, aunque también existen algunas versiones que instalan aplicaciones o ejecutan una subrutina para reiniciar la máquina. La segunda forma de ataque consiste en un correo portando un adjunto que al ser ejecutados inicia el proceso de autorreplicación, recoge la libreta de direcciones del atacado y se reenvía hacia los buzones obtenidos. El problema de los gusanos va más allá puesto que una vez ha infectado una máquina, desencadena una serie de procedimientos para extender sus acciones. Por ejemplo en una fecha determinada se pueden lanzar una serie de ataques masivos utilizando para ello los medios propios de las víctimas, contra servidores web o de correo determinados. El objetivo no es otro que se produzca la denegación de servicio, siendo en este caso de forma distribuida (DDOS). El ejemplo más típico de gusano conocido que utiliza esta metodología es “Mydoom”. La mejor protección contra estas amenazas es la precaución. Hay que desconfiar de aquellos correos de dudosa procedencia o de contenido incierto. Por ejemplo, si recibimos un correo de un amigo con un asunto en inglés tipo Hi!, debemos desconfiar del mismo, o desechar correos con adjuntos si no podemos confirmar su procedencia. KEYLOGGER Sin lugar a dudas un virus es peligroso, pero al final de una u otra forma eres conocedor de su existencia y puedes poner un remedio (o al menos intentarlo). Pero ¿qué pasaría si algo en la máquina estuviera recogiendo lo que hacemos y lo enviara a otra persona? Por supuesto las repercusiones serían mucho más graves. La espía informática es una operativa lucrativa utilizada por algunos hackers y que supone un gran peligro. Imaginamos qué una persona conoce cada golpe de teclado que realizamos en nuestra máquina. Conocería nuestras password, tendría acceso a nuestro correo, sería capaz de predecir nuestras acciones, detectaría y anticiparía nuestros modos de operación, tendría acceso a toda nuestra información, etc. Los keylogger son aplicaciones malware que tienen este objetivo. Esta aplicación normalmente llega al usuario de forma camuflada, algo similar a como sucede con los troyanos, y una vez instalado en la máquina ejecuta las acciones correspondientes para recoger cada pulsación que se produzca en el teclado del ordenador. Algunos sitios web (principalmente bancos) conocedores de estos programas han rediseñado sus accesos para introducir las claves de acceso a través de números que son pulsados por ratón en una consola de la página web. Para sobreponerse a estas técnicas los keylogger han ido evolucionando, recogiendo también las comunicaciones de los navegadores y almacenando las pulsaciones de ratón e intentando identificar en que posición de pantalla fueron accionadas. Un problema al que se enfrenta un atacante que utiliza un programa de este tipo es la de recoger la información obtenida. Algunos de ellos vuelcan la información en un texto plano y el hacker debería tener acceso físico al mismo para recoger lo obtenido, pero los más avanzados Departamento Gallego de Informática Tfno:986493000 www.dgi-sll.com pueden ser configurados para reenviar la información vía correo a un buzón específico, o establecer una comunicación contra una dirección IP y enviar los datos necesarios. KGB Keyloger presenta estas funcionalidades. Algunos de estos programas ha pasado a ser comerciales y se ha extendido su uso para el control y predicción de acciones. Algunos padres los utilizan para conocer que lugares de Internet visitan sus hijos, que conversaciones mantienen a través de Messenger, etc. DIALERS Este tipo de aplicaciones se han convertido en un verdadero problema fundamentalmente para el usuario doméstico. Desarrolladas originalmente por los proveedores como un método simple para que los usuarios pudieran conectarse a Internet, sin necesidad de grandes configuraciones. Actualmente, sin embargo, son utilizados en muchas ocasiones para redirigir las comunicaciones de los usuarios con Internet sin que estos tengan una constancia directa de ello. Desde hace un tiempo ha empezado a proliferar una serie de sitios web preparados para descargar una serie de dialers sobre la máquina objetivo. Estas aplicaciones no se pueden ejecutar sin el consentimiento e intervención del usuario, pero las argucias y engaños empleadas son cada día más sofisticados para hacer caer en la trampa al sufrido usuario. Una vez que el dialer se encuentra instalado, este se encarga de cerrar la conexión que actualmente se encuentra activa y realizar una nueva comunicación a internet al número de teléfono que preestablece el marcador. Curiosamente el número suele coincidir con teléfonos de tarifa especial como pueden ser los 803. Si el usuario no es consciente de esta situación, toda la conexión hacia Internet se reconducirá a través de esta comunicación. El resultado final se obtiene cuando se recibe la factura telefónica. Un poco tarde. El problema de este uso “supuestamente fraudulento” es que roza lo legalmente establecido. Se informa realmente de su uso y cuales son las tarifas para el establecimiento de llamada, aunque se hace de una forma enmascarada utilizando hábilmente la información para no alarmar a la víctima, escapando de esta forma a cualquier medida control, puesto que se cumplen los requisitos mínimos que exige la ley. La implantación progresiva de la tecnología ADSL inmune a ésta técnica ha minimizado el impacto de estos marcadores. A pesar de ello hay muchos equipos que todavía establecen sus conexiones mediante el marcado telefónico y estos aún pueden verse afectados seriamente. Se recomienda concertar con la compañía de acceso a Internet el control para impedir las llamadas hacia este tipo de números de teléfono o utilizar programas que controlen las llamadas desde el MODEM. JOKES Aunque no pueden quedar encuadrados directamente en el mismo grupo que virus, troyanos, etc., en cuanto al daño que producen, estas bromas se pueden incluir perfectamente bajo la categoría de malware y no es menos cierto que sus repercusiones pueden ser muy negativas. De aspecto totalmente inofensivo, los programas jokes se han ido distribuyendo mediante correo con el único propósito de gastar una jugarreta a un amigo, aunque a veces ésta llega más lejos de lo normalmente razonable. Imagine a un usuario novato ejecutando una aplicación que le pregunta: ¿desea formatear el disco duro? y aunque se de la orden de cancelar para que no se inicie el supuesto procedimiento de formateo, éste se inicie, con el consiguiente susto por parte del engañado. Lo más probable en una lógica reacción va a ser apagar repentinamente el equipo, con la posible pérdida de información. También en las empresas tienen sus consecuencias perniciosas, especialmente relacionadas con pérdidas de productividad. Normalmente estos juegos acaban con el desplazamiento de un técnico de soporte al puesto de trabajo para evaluar que es lo que ha ocurrido, intentando solucionar un problema inexistente. Departamento Gallego de Informática Tfno:986493000 www.dgi-sll.com