jueves, 23 de diciembre de 2010

El Spyware Dentro de Tí

Aunque hoy en día los spyware (programas espía) residen en tu computadora o en tu móvil, hay mucho dentro de tí. Cualquier cosa que hagamos, donde sea que vayamos, es guardado en una computadora o en un dispositivo embebido como un teléfono móvil. La Publicación de Noviembre de la revista Hakin9 nos brinda este interesante artículo acerca de spywares.

Que aprenderás...
  • La nueva tendencia Spear spyware (software espía lanza)
  • A cerca de colmenas de spyware

Que debes saber...
  • Lo básico a cerca de computadoras e Internet
  • Lo necesario de seguridad
Estamos en la Era Cibernética donde la única forma de guerra que parece posible es una ciberguerra y los spywares modernos pueden ser una parte clave de la misma si es una guerra entre dos de las más grandes marcas, entre dos negocios competidores o entre dos naciones. Y es definitivamente verdad que seremos testigos en los próximos 5 años de como el mundo del hacking se revolucionará con las siguientes generaciones de spywares. El spyware que reside en nuestras vidas vía una computadora o un móvil. Con más de una década de mantener la más grande compañía de hacking ético en India y la única que investiga en hacking ético para producir un framework (marco) avanzado para el hacking ético. Se ha visto que los spywares cambiaron de programas básicos de archivos por lotes escritos para capturar keylogs a una especie polimórfica que reside como un software normal dependiente en la plataforma de tu computadora, antivirus que se pueden actualizar muchas veces con actualizaciones de firmas de virus. Algunos programadores en las unidades de investigación de la revista Hackin9 crean un spyware llamado appin m@trix para el framework de penetración que atualizado por si mismo para eludir firmas y mofificarse por si mismo regularmente. El spyware también tiene un comportamiento actualizado más allá de solo un plan lógico que hace su detección imposible en tiempo real. La nueva generación de spywares serán duros de manejar y alcanzarán todas las plataformas embebidas usadas por tí.

Tendencias

En una de las colmenas tenemos que colectar spywares, el número de spywares coleccionados alcanzan una medida de 376 familias únicas y sobrepasando las 3000 muestras en un sólo día que es algo alto para una simple colmena. Los spywares están creciendo en número y en su capacidad de difusión sobre diferentes plataformas como Windows, Windows Mobile, Macintosh, Android, Symbian, etc.
Una nueva tendencia de los spywares vienen en una nueva forma llamada Spear Spyware. Spear Spyware es el que es destinado a una organización en particular o a un grupo de individuos y por lo tanto no tiene firmas, es basado en la infraestructura del objetivo. Muchos tipos de spywares son muy difíciles de detectar y tienen por objeto capturar información específica como archivos, nombres de usuarios/contraseñas, información financiera, keylogs (clave de registros), capturas de pantalla de las computadoras objetivo.
Otra tendencia obtenida de la evolución de la escala privilegiada en spywares que se les da un mejor capacidad de espiar incluso en la web y video cámaras, audio junto con funcionalidades normales.
Los spywares creados tienen también por objeto robar datos sensibles de aplicaciones. Un ejemplo obsercado en el 2010 fue Stuxnet que encontró vulnerabilidades en el sistema (exploited) del software SCADA de Siemens y luego convertirse en uno de los más ampliamente spywares difundidos.
Considerando el serio daño logrado por un spyware, los estudios realizados por Forrester Research encontraron que hasta el 87% de PCs están infectadas con spyware aleccionado. Si más aleccionado es el hecho que computadoras infectadas tienen, en promedio, 28 diferentes tipos de spywares instalados cualquier tiempo dado, y un 7% de computadoras infectadas con spyware que graba las señales del teclado como contraseñas y números de tarjetas de crédito.

Los spywares más difundidos en el 2010

El laboratorio de investigación de Appin en Asia y Europa hace investigaciones de análisis/ingeniería inversa regulares de spyware y malware y evalúa que spywares tienen la máxima propagación. Un resumen de la investigación de los más difundidos se muestra a continuación.

  1. PurtyScan: es un pop-up, o ventana emergente. Atrae a un usuario haciéndole propuestas para encontrar contenido pornográfico/spyware en tu computadora y limpiarlo. sin embrago una vez que el usuario hace click será llevado a una website con mucho más spyware y adware esperando infiltrarse en tu computadora.
  2. Gator: Gator graba todo lo que navegas en línea de tal forma que puede saber lo que te gusta. La computadora del usuario es inundada por banners y anuncios tratando de captar tu atención. A menudo terminan en equipos que comparten archivos a través de Kazaa u otros programas P2P o descargas de regalos de sitios aleatorios.
  3. CoolWebSearch: Esta es una forma de malware diseñada para secuestrar tus configuraciones de Internet y reenviárte a su sitio web. Sin embargo el sitio web al que te reenvían está cargado con adware y spyware.
  4. ISTbar/Aupdate: Actúa como una barra de herramientas (toolbar). Continuamente envía un bombardeo de advertencias en ventanas emergentes (pop-ups) mostrando imágenes pornográficas a tu computadora.
  5. Perfect Keylogger: Es es una forma de código muy perjudicial. Graba todo lo que uno tipea en su computadora y puede comunicar tu información más personal hacia el que lo creó.
  6. Trojan-Downloader.Generic: Este es un ataque de puerta trasera (backdoor) que permite al atacante descargar cualquier troyano en la computadora de la víctima. Esta es actualmente una familia de spywares popularmente llamada como los downloaders.
  7. Trojan-Spy.Win32.Zbot.gen: Este es un spyware que revierte conexiones a un servidor remoto y permite al atacante ganar acceso remoto a tu computadora. Este spyware es peligroso y puede capturar todos los datos sensibles guardados en tu computadora como tus contraseñas.
  8. Explorer32.Hijacker: Este spyware secuestra el explorer.exe de windows y reúne información sensible de tu computadora.
Métodos de ataque usados por spywares para difundirse

Appin tiene varias colmenas donde hicieron estudios sobre botnets, métodos usados para difundir botnets que capturan varios ataques, buscan huecos en sistemas que son usados para difundir spywares. Algunos de los ejemplo son dados a continuación:

  1. Atques basados en email : Siempre que tenemos un email instigan a hacer click en un enlace o descargar un archivo pdf. Hay que tener cuidado porque este es uno de los métodos más usados para difundir spywares y ha habido un sinmúmero de ataques desde direcciones Chinas y Rusas.
  2. Pornografía y sitios web con descargas de herramientas gratis: Estos sitios web son colmenas creadas para atraer a la gente y difundir spywares a través de las vulnerabilidades de los navegadores que están siendo explotados.
  3. Herramientas que remueven spywarebque en realidad actúan como spyware: Las herramientas que remueven spyware insitan al usuario a revisar su sistema en busca de spywares pero la policía resulta convertirse en un ladrón. Muchos de estas herramientas remueven otros spywares para añadir spyware para tomar control de tu computadora.
  4. Controladores USB (USB Drivers): Los controladores para USB actúan como un difusor de spywares en una red de computadoras. Hay varios como módulos de propagación que tienen el comportamiento de un gusano y actúan como un portador de spywares.
  5. Robots Chateadores (Chat bots): Con qué frecuencia usted recibe un enlace en una conversación de chat bot de una chica con una foto sexy? Es es de nuevo uno de los métodos para difundir un spyware en un ared de gente relacionada un con otra donde el software empieza a mandar enlaces maliciosos que descargan el spyware en tu computadora.
Avances más recientes

Como una actividad de investigación para encontrar nuevas vulnerabilidades el equipo de Appin creó un probó un concepto de spyware inteligente parecido a un spyware profesional capturado de una de las colmenas. Este spyware fue lo suficiente inteligente para reiniciarse una ves que estaba detenido. TAmbién el spyware tiene un único comportamiento y puede reiniciarse por sí mismo después de haber sido formateado. La parte extraña fue que ninguna de las características de seguridad de windows 7 y antivirus detectaron este comportamiento. Los hackers ahora han empezado a usar spywares inteligentes que en su mayoría son imposibles de remover de las computadoras. Investigaciones llevadas a cabo por Appin tienen el objetivo de crear una lista de 100 casos heurísticos que puedan ser usados por IDS's, antivirus para detectar tales spywares.