jueves, junio 03, 2010

BootKits, la amenaza Fantasma

Amigo lector, si cree que su último antivirus lo protege de amenazas, espere a leer este artículo y tendrá razones de más para estar preocupado. Cuando en el año 1999, en la Universidad del Ejercito (ICTE), tuve el honor de dictar el primer curso sobre Virus en el Perú, a un auditorio de Profesionales Informáticos de Bancos, Instituciones del Estado y otras Organizaciones, muchos pensaron que se trataba de una broma, otros se preguntaban. ¿Como es posible que una Institución tan importante se dedique a cosas sin importancia?. Hoy no es necesario preguntarles su opinión, cuando el mundo gasta billones de dólares tratando de protegerse de esas “bromas”. Este artículo pretende hacer un mapa conceptual de contra que nos enfrentamos y los diversos tipos de Malware a que nos enfrentamos, ayudándonos a tomar conciencia que podemos transportar virus desde el teléfono móvil hasta la filmadora, pasando por nuestro último televisor digital de alta definición.




Inicialmente los llamábamos virus, unos por allí creían que eran bichitos que podían transmitirse a los humanos, hoy por hoy, tenemos tanta variedad de elementos extraños que los gurús han dado por llamar Malware, que podría traducirse como “Todo lo malo que puede afectar nuestra información”.

Este Malware ha desarrollado tanto que, las distintas formas y mutaciones de virus y gusanos informáticos tienen vida propia, al punto que ya comienzan a atacarse entre sí. Así queda comprobado con un anuncio de Symantec, que advierte que el gusano Klez en algunos casos puede estar infectado con el peligroso virus CIH. La cosas parecen tanto de ciencia ficción que hace poco un científico anuncio que estaba infectado por virus informático o es muy probable que su computadora este controlada de forma remota por un usuario no autorizado, lo que se ha dado a llamar como una computadora zombie, por lo que al momento que lee estas líneas es poco probable que pueda determinar si su equipo pertenece a una red bot.
(http://www.diarioti.com/gate/n.php?id=26472).

La noticia que hace unos años parecía de ciencia ficción se dio: Por primera vez, un humano es infectado por un virus informático. Se trata del Dr. Mark Gasson de la Escuela de Ingeniería de Sistemas en la Universidad de Reading, (http://despuesdegoogle.com/2010/05/26/un-hombre-es-infectado-por-un-virus-informatico/).

Una cosa que aun no termina de entenderse es que el malware infecta cualquier dispositivo que se conecte a Internet (Casi todo lo que existe), su teléfono móvil, su blackberry, el PocketPC, su Televisor o su filmadora con disco duro. etc. Y se guarda en cualquier dispositivo de almacenamiento. Por ejemplo yo encontré virus en la tarjeta de memoria de la cámara fotográfica de mi hija. Y ojo que el 10 de Abril se produjo el “Apagón Analógico” en Madrid, y en algunos meses se dará en Perú, por lo que ya corren por la red entusiastas hackers programadores de virus para la TV digital.




A continuación tratare de hacer una vista panorámica de todo el espectro de esto que ha dado por llamarse Malware, ensayando una clasificación:

MALWARE:
En general son software que se instala en secreto con máximos privilegios, ocultando su presencia y enterrándose en lo mas profundo del Sistema Operativo de la maquina y es invisible a herramientas de diagnostico. Entre ellos:

Virus:
Programa malicioso que se transmite automáticamente.
Spamware:
Usa nuestro equipo como Reenviador de Correo basura.
Adware:
Anuncios no deseados
Fishing
Correo engañoso, haciéndose pasar por su banco o seguro, buscando que ingrese sus claves o datos personales para capturarlos y después transferir su dinero u otros.
Troyano:
Virus que pretende que usted lo instale, viene con software deseable de distribución gratuita, aplicaciones para su teléfono móvil, shareware, música, etc.
Gusanos
Un gusano (también llamados IWorm por su apocope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Spyware: (Espías)
Registra todo lo que tecleamos en nuestro ordenador en busca de información valiosa.- claves de tarjetas, passwords, correos electrónicos, chat por Messenger, etc., muy usados para espiar empresas, o a la esposa infiel, etc. Puede instalarse a distancia y puede enviar cada cierto tiempo los datos obtenidos a otra maquina destino.
Botware:
O “Redes Zombie”, alguien desde el otro lado del mundo toma el control de nuestro ordenador y usa nuestro equipo y otros miles para atacar masivamente a organismos.
Ransomware:
Nueva variedad: Encripta nuestros archivos y después se ofrece a vendernos la clave de descifrado.
Rootkits:
Parchea el Kernel del Sistema Operativo para tener el control, ocultar otros procesos, conseguir privilegios de administrador, o cualquiera a gusto del hacker. etc.
BootKits:
Código de programación oculto que parchea de alguna manera ciertas partes interesantes del Kernel para obtener ciertos fines interesantes como ocultar procesos, o conseguir privilegios de administrador de una máquina. A diferencia del Rootkit, no deja (en principio) huella en la máquina víctima, ya que no es necesario que modifique nada en el sistema de archivos, es decir, indetectable, mas adelante hablaremos sobre su creador.


¿Como actúan los Antivirus?

Los Antivirus son programas que rastrean nuestro ordenador en busca del “código” o la “firma” del virus, son una especie de guardias de seguridad que tienen una “lista de sospechosos”. Pero se preguntaran ¿que hay de los nuevos virus? Pues simplemente no hay manera de detectarlos, aunque los Antivirus mas inteligentes rastrean mutaciones de virus (muchos van mutando para evitar ser detectados) otros Antivirus dicen que tienen capacidad “heurística”, de lo cual este servidor duda mucho, pues los humanos somos los únicos que tenemos esa capacidad, el diccionario lo define como: “heurística es la capacidad para realizar de forma inmediata innovaciones positivas para sus fines”.

Alguno se preguntara ¿Entonces los Antivirus al estar permanentemente rastreando nuestra computadora, la hace lenta?.... La respuesta es SI, si no tuviésemos el problema de los virus, nuestros ordenadores, las redes y el mismo Internet serian mucho más rápidos.





BootKits, lo mas sofisticado e indetectable:-

Los Bootkits, son un tipo de malware muy sofisticado y limpio. Uno de los mejores programadores de bootkits que están activos actualmente es Peter Kleissner, un joven austríaco de aproximadamente 19 años de edad con una capacidad impresionante para la programación orientada a la seguridad y el hacking. Su historial, además de impresionante, denota esa faceta que a muchos programadores con intereses similares les ha hecho caminar entre la frontera gris entre el blanco y el negro. Si ya con quince años creó su primer sistema operativo (toasteros) basado en Linux, con diecisiete trabajó para una importante compañía de antivirus, y con dieciocho presentó una gran conferencia en Black Hat (Sombreros Negros, dícese a los Hackers) sobre su Bootkit Stoned. Esto le ha llevado en los últimos años ha tener que enfrentarse en varias ocasiones con la justicia austriaca, y de hecho así lo hace actualmente.
Un bootkit, consiste en un código de programación oculto que parchea de alguna manera ciertas partes interesantes del Kernel para obtener ciertos fines interesantes como ocultar procesos, o conseguir privilegios de administrador de una máquina. Puede sonar muy parecido a la definición de un rootkit. Pero no es así, ya que un bootkit no deja (en principio) huella en la máquina víctima, ya que no es necesario que modifique nada en el sistema de archivos. Podemos cargarlo desde un CDROM con autoarranque, desde un pendrive o incluso modificando el código de la BIOS del equipo para que intervenga desde esa posición. Por tanto, intervendrá en la máquina durante el arranque, muchas veces podemos hacerlo modificando el MBR del disco duro "on the fly" para cargar cierto código anterior a la carga del Kernel del sistema operativo.
Como ejemplo, Kon Boot está disponible para Windows y para Linux y abarca versiones hasta Vista. Peter está trabajando ahora en otro proyecto donde enlaza bootkit, botnet (Redes Zombie) y otros tipos de malware que amplían el abanico de trabajo de este tipo de herramientas. Ya ha obtenido buenos resultados sobre Windows 7, incluso en versiones de 64 bits.
Hay mucha más información sobre todo esto, pero creo que los interesados deben investigar un poco:
http://www.stoned-vienna.com/
http://www.piotrbania.com/all/kon-boot/
Aquí encontraran un video muy interesante sobre el tema:
http://www.youtube.com/watch?v=FHNZ2GUQ43U&feature=player_embedded#!

Mi Opinión sobre el Hacking:-




Muchos Profesionales informáticos hacen acepciones morales sobre el Hacking, pero soy un convencido que no puede existir un experto en seguridad informática que no tenga conocimientos profundos de Hacking, lo que en Madrid algunos llamábamos “Hacking Etico”. Pues no creo que alguien que no tenga idea de cómo atacar un sistema sepa como defenderlo, o ¿usted daría a cuidar su casa a un agente de seguridad que no tiene ni idea de las técnicas que emplean los ladrones para robar?, el mejor sistema de seguridad para su casa de seguro se lo dará un buen ex – ladrón, no cabe duda. Prueba de ello es que los mejores hackers de la historia después de salir de prisión fueron invitados a trabajar en los organismos de seguridad mas reconocidos del mundo.
Hoy por hoy existen en la Internet diferentes Web Underground que difunden la “cultura hacker” e inclusive existe un radio “mundo hacker” que cada fin de semana transmite por Internet desde diversas partes del mundo a fin de no ser detectados, donde exponen sus logros diversos expertos en penetración lógica y hackering. Los expertos en Seguridad de Internet deberíamos estar al tanto de lo que pasa allí, es mas, si participamos en esos foros, nos mantendremos al tanto de las nuevas técnicas de penetración, por supuesto, mas fácil es estar sentado en su oficina y comprar el último Antivirus o IDS (Sistema de Detección de Intrusos) y listo…. Si el mundo seria así, seria una maravilla.

Hasta la próxima y feliz …. hacking.

No hay comentarios.: