08 - La (in)seguridad personal y las redes de espionaje - 05/05/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Si leemos las ultimas noticias relativas a worms, troyanos, virus, SPAM y otras yerbas vemos un indicador claro: aumento de actividad vírica con troyanos que sirven para construir botnets que envían SPAM y realizan espionaje.

Esto que parece un trabalenguas tendría el aspecto que se describe a continuación:

Escenario 1: una persona (a) en Noruega sin protección en su computadora (o con protección desactualizada) es infectada por un virus que llega de alguna forma a su computadora.

Escenario 2: un usuario (b) de la empresa X en Argentina baja un mail con fotos de Madonna que le envió un amigo al que le tiene mucha confianza (usuario a)

El nivel de infección que han logrado ciertos especimenes no hacen necesario escenarios como los anteriores, pero sirve a modo de ejemplo.

Para realizar el ejercicio nos hacen falta 7 definiciones: Virus
Troyano
Worm
SPAM
Bots
Botnets: conjunto de bots
Zombie: computadora generalmente infectada con un troyano de acceso remoto, capaz de recibir órdenes externas, y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueños.

Ahora supongamos que VIRUS-AX = virus + troyano + worm + envío de SPAM

Virus, troyano y worm no necesariamente tienen que estar hechos por la misma persona u organización. Simplemente son tres herramientas utilizadas por el creador de la combinación VIRUS-AX y que sirven a un objetivo: tomar el control de la computadora infectada.

Como dijimos (a) recibe un VIRUS-AX y este dispara su troyano. Los componentes virus y Worm son utilizados para propagar el código malicioso y el troyano es utilizado para tomar el control en un puerto determinado y realizar distintas acciones a petición del delincuente: en el mejor de los casos jugar con la PC de (a) y en el peor realizar SPAM o espionaje tecnológico. En el caso de (a) el componente Worm no tendría ningún objetivo ya que el usuario no está en una red. Ahora (a) desconoce que su computadora está infectada y (b) confía en sus mails.

Cuando el autor de VIRUS-AX o alguien aun mas oportunista que conoce la combinación virus + troyano decide hacerlo o cuando sucede algún evento en particular (fecha, lanzamiento de determinada aplicación, etc), se activa el troyano y, mediante un servicio SMTP propio, este comienza a enviar SPAM y copias de si mismo. El SPAM puede servir al autor para hacer dinero como vimos en el boletín anterior y las copias de si mismo logran mas infecciones.
Como el virus toma documentos de la computadora donde esta alojado es probable que los mails salgan a personas conocidas. El usuario (b) recibe un mail de su amigo (a) y como confía en él decide abrir el "madonna.exe.pif" que le envió.
Ahora La empresa X acaba de recibir un virus, a través de (b), con capacidades de worm que se expande por toda la red c orporativa (1000 PCs) y como el mismo también tiene capacidades de troyano el autor de VIRUS-AX acaba de lograr 1000 PCs zombies en pocos segundos.

Las 1000 PCs (ahora llamada botnet zombie) comienzan a enviar SPAM. Esto hace que el proveedor de Internet de X o una Black List detecte esta acción y decida bloquear la IP corporativa de la empresa. X queda aislada tecnológicamente del mundo por una semana hasta que la situación se normaliza. X pierde imagen ante sus clientes y la competencia (Y) se afianza en el mercado. X quiebra. Se descubre que el creador de VIRUS-AX pertenecía a Y, y que el mismo fue realizado para hacer espionaje corporativo.

Los mas despiertos habrán notado que me tome algunas libertades de redacción pero creo que el ejemplo es valido para mostrar lo que está sucediendo hoy y aqui: dentro de nuestras PC y alrededor de las mismas.

Como reflexión final: la tecnología no tiene la culpa de lo que nosotros hacemos con ella. Internet es un medio. Siempre existieron hechos delictivos y existirán después de Internet. Culpar a Internet de los hechos delictivos que se cometen utilizándola seria como culpar a Ford porque nosotros atropellamos a una persona con un auto.

Mas del tema: http://segu-info.blogspot.com/2005_05_29_segu-info_archive.html http://www.hispasec.com/unaaldia/2410/ http://www.radicati.com/cgi-local/brochure.pl?pub_id=497&subscr=&back_link=/reports/single.shtml

Buenos Aires, 05 de mayo de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto