miércoles, 4 de diciembre de 2013

Malware raro: virus que se transmiten por sonido y los Power Virus


El malware (contracción de "malicious software") o badware es un código maligno o software malintencionado que infecta los sistemas informáticos, como ya sabemos. Su objetivo es infiltrarse en un sistema o dañarlo, sin el consentimiento del propietario. Las infecciones o ataques se realizan aprovechando las vulnerabilidades o agujeros de seguridad de los sistemas informáticos.

Muchos emplean el término "virus" para referirse a todo tipo de software malintencionado, pero no es correcto. Dentro del malware se incluyen multitud de tipos como:

MALWARE DE TIPO INFECCIOSO:

  • Virus: es un tipo de malware que infecta archivos ejecutables o los sustituye para causar el mal funcionamiento del equipo o borrar datos. Dentro de los tipos de virus existen variantes, como los polimorficos (son capaces de cifrar su firma de forma distinta en cada infección de manera que son más difíciles de detectar), virus de macro (infectan macros de por ejemplo archivos de PowerPoint), boot virus (son virus que infectan el boot o sector de arranque el sistema), zoo (un tipo de virus que solo está presente en una zona, como un laboratorio donde de estudia su comportamiento para mejorar el sistema) y mutex (ciertos virus que pueden controlar el uso de los recursos del sistema)... También existen los Dropper, ejecutables tras los que se esconden varios virus, es decir, un a especie de todo en uno malicioso...
  • Gusano o worm: muy similar a los virus pero que lo que hace es hacer copias de sí mismo o de partes de él. Para autoreplicarse usan partes del sistema para llevar a cabo su labor. Estos pueden propagarse por si solos, sin la ayuda de una persona que propague la infección compartiendo los archivos infectados, como ocurre en el caso de los virus. 

MALWARE DE TIPO OCULTO:

  • Puerta trasera o Backdoor: secuencia de código insertada en el código de un sistema o programa para evitar los sistemas de seguridad. Así se puede tener acceso secreto a un sistema sin consentimiento del usuario. 
  • Rootkit: es un software capaz de hacer que un pirata o intruso escale privilegios en un sistema, obteniendo el control absoluto del mismo. Lo normal es que el atacante obtenga la contraseña de acceso al sistema o aproveche una vulnerabilidad para instalar el rootkit en el equipo de la víctima. Una vez instalado, puede camuflar su penetración y mantener los privilegios en el sistema. 
  • Troyano o caballo de troya (Trojan Horse): es un malware que aparentemente es un software útil, pero al ejecutarlo, el atacante obtiene acceso remoto al sistema infectado. 

MALWARE PARA OBTENER DATOS DE LA VÍCTIMA (CRIMEWARE):

  • Spyware: software espía que recopila información relevante del sistema atacado y la transmite a un tercero para que éste la use con fines ilícitos. El spyware se autoinstala en el sistema aprovechando los agujeros de seguridad y utiliza los recursos del equipo infectado para espiarlo. 
  • Adware intrusivo: el "Advertisement software" es un tipo de software que muestra anuncios publicitarios al usuario afectado durante el uso de este tipo de aplicaciones. Normalmente se hace para lucrar a los que lo han creado, pero en otros casos también se obtienen datos del afectado para mostrar un tipo de anuncios concreto que sea del interés del usuario. Normalmente viene incluido en programas gratuitos que dan la opción al usuario de pagar para obtener la versión completa sin anuncios. 
  • Hijacking: secuestro o robo de información de la víctima. Este tipo de malware puede secuestrar páginas webs, IPs, navegadores, sesiones, etc. 
  • Stealer: son ladrones de información que se transmiten a través de internet y que sirven para obtener de forma fraudulenta información privada del usuario (contraseñas, nombres, números de tarjetas, etc.).
  • Keylogger: programa que es capaz de detectar las pulsaciones de un teclado y crear un fichero con el registro de teclas pulsadas. Muy útil para obtener nombres de usuario y contraseñas de la víctima, aprovechando cunado inicia sesión en un sistema para registrar las teclas que pulsa. 
  • Dialer: un programa que se descarga "con el consentimiento del usuario" mediante pop-ups o ejecutarse automáticamente (ActiveX). Lo que hacen es, usando el modem de la víctima, marcar números telefónicos que cobran por llamada. Así el que lo creó obtiene beneficios económicos. 
  • Botnet o malbot: son bots o robots informáticos que pueden controlar de forma remota los ordenadores infectados. Los botnet son autónomos y automáticos, consiguiendo el control mediante protocolos IRC o HTTP.
  • Rogue software: son falsos antivirus o software bandido que hace creer a la víctima que está infectado con un virus y para quitarlo deben pagar una suma de dinero que supuestamente haría que el falso antivirus neutralizase el virus. 
  • Ransomware (criptovirus o secuestradores): cifran los archivos importantes del usuario para que este no tenga acceso a ellos. Luego piden que se pague un rescate para volver a tener los archivos disponibles. Así sus creadores consiguen dinero fácil de las víctimas que pican. 
  • Scareware: un tipo de software que trata de amenazar o convencer al  usuario de algo ficticio y que tiene que pagar por algún producto necesario. Evidentemente el software no es más que un timo para conseguir dinero o algún tipo de dato de la víctima. 
  • Flame (flamer o sKyWiper): ha sido recientemente descubierto, en 2012, e infecta a sistemas operativos Microsoft Windows. Se han realizado para hacer ataques de espionaje entre gobiernos. Sobre todo afecta a países de oriente medio por su situación política. 

OTROS TIPOS DE MALWARE:

  • Greynet o Grayware: aplicaciones que se instalan automáticamente sin consentimiento en el ordenador víctima. No son demasiado dañinos pero resultan molestos mostrando mensajes, usando algunos recursos del sistema o consumiendo dinero. 
  • Spam: es correo basura que se propaga con el único fin de publicitar marcas, productos o webs, siendo algunos más peligrosos pudiendo datos privados del usuario. El spamming es ilegal, pero muchas webs y compañías lo siguen utilizando para publicitarse. También hay ciertos particulares que lo usan con otros fines. 
  • Phishing: suplantación de identidad en la red que puede llevar a un usuario a la confusión y a dar datos privados sin ser consciente del peligro. Por ejemplo, puede aparecer una web similar a la de su banco que sea falsa pero que la imite a la perfección y que el usuario no la detecte, poniendo sus datos de tarjeta, contraseñas, etc.
  • Bomba lógica: se llama así a la inyección de código malicioso entre el código de un programa informático útil. Este código se oculta hasta que se cumplen unas condiciones preprogramadas y en ese momento se activa y realiza la labor para la que ha sido creado. Normalmente pueden mostrar mensajes, borrar datos, apagar la pantalla, enviar correos, reproducir sonidos molestos, etc. 
  • Scam: técnica que engloba páginas webs fraudulentas, estafas por correo electrónico, etc. Generalmente intentan engañar al usuario y conseguir donaciones de dinero o ciertos datos relevantes.
  • Exploit: es un software/fragmento de código o comando que pretende utilizar las vulnerabilidades de un sistema operativo o software. Así consigue penetrar o conseguir el mal funcionamiento del sistema atacado.
  • Flooder: normalmente afecta a sistemas de mensajería o correos, en los que envía un mensaje repetitivo muchas veces para conseguir colapsar o inutilizar dichos sistemas. 
  • Hoax: no son virus, sino mensajes falsos sobre alertas o bromas que molestan al usuario del ordenador afectado.
  • Joke: otro tipo de bromas que hacen creer al usuario que han sido infectados con un virus peligroso y que su sistema está gravemente afectado, siendo totalmente falso. 
  • Trackware: normalmente son usados por webs para seguir las acciones de un usuario cuando navega por Internet. Esto puede ser usado por terceros para fines comerciales, creando un perfil de gustos del usuario para ofrecer ciertos resultados de búsqueda o anuncios de productos. 
En películas de ciencia ficción hemos visto multitud de suposiciones sobre supuestos virus futuristas. Incluso hubo una especie de fiebre o preocupación con la llegada de PLC (Power Line Communications), suponiendo que los virus se podrían transmitir por las redes eléctricas y que podrían afectar a otros electrodomésticos y aparatos eléctricos... 
Pero en muchos casos la realidad supera la ficción. Actualmente vivimos en una era donde se ha iniciado una "guerra informática" entre gobiernos, con multitud de casos de infecciones intencionadas y casos de espionaje informático para conseguir datos secretos. Algunos ejemplos son: Stuxnet, Stars, Duqu, etc.
Ahora les hablaremos de unos virus o malware muy peculiares que rompen con los esquemas actuales...

MALWARE QUE ES CAPAZ DE PROPAGARSE MEDIANTE SONIDO:

Ya es posible la infección mediante ondas sonoras, es decir, la infección informática por aire. Las ondas sonoras se propagarían por un altavoz y serían recibidas por el micrófono de la víctima. Con la suficiente cercanía entre equipos, este tipo de malware no necesitaría de conexión física o a través de una red para infectar otros equipos. 

Este malware ha sido desarrollado por dos científicos, Michael Hanspach y Michael Goetz del Fraunhofer FKIE (Wachtberg, Alemania). Ellos han conseguido técnicas capaces de infectar otros ordenadores con malware que se puede transmitir usando los altavoces y micrófono. Como los sistemas informáticos actuales no consideran este tipo de infección, están totalmente desprotegidos. Así se transforma en un método totalmente eficaz que no necesita ni que los ordenadores estén conectados a una red o que compartan datos. 

Este malware emplea un canal secreto realizado entre los sistemas de cálculo empleados en el sistema de sonido de un ordenador. Empleando un sonido que cause ciertas operaciones de cálculo entre el modulador y demodulador del equipo, se puede intercambiar datos que consigan infectar el sistema. Así funciona la infección por aire, gracias a las ondas sonoras. 

Y atención, solo los usuarios de Linux están a salvo si hacen algunas modificaciones. Hanspach y Goetz afierman que “En los sistemas operativos basados en Linux, se puede implementar un filtro de audio definido por software con ALSA (Advanced Linux Sound Architecture) en conjunto con el LADSPA (Linux Audio Developer Simple Plugin API)”. Nuevamente se demuestra que Linux es un sistema muy seguro... 

AIRHOPPER: KEYLOGGER POR ONDAS DE RADIO:

Como hemos demostrado en el apartado anterior, no solo se puede estar en peligro conectado a una red. Siempre hemos pensado que el equipo más seguro era aquel que no estaba conectado a ninguna red, pero eso ya no es del todo cierto. Se han demostrado que hay métodos para no depender de redes.
Hace un tiempo nos impactó una noticia sobre unos electrodomésticos (tostadoras, planchas,...) que se comercializaron en Rusia y que provenían de China con "hardware oculto". Estos aparatos tenían capacidad para buscar redes WiFi cercanas y acceder a ellas sin que los usuarios lo supieran (y parece ser que incluso podían acceder a redes protegidas por contraseña). Esto lo utilizaban para transmitir imagen y sonido de las víctimas para espiarlas de este modo tan trabajado. Solo fueron detectados cuando al enviarlos a un técnico por avería, los profesionales encontraban partes y circuitos que aparentemente no tenían utilidad o no debían estar ahí. Analizándolo con detalle vieron que eran dispositivos de red, pequeñas cámaras, micrófonos, etc.
Pues bien, ahora nos llega la noticia de AirHopper, una técnica para poder capturar datos de un dispositivo cercano. Un malware que se comporta con un keylogger especial, captura todo lo que se escribe en el dispositivo cercano (contraseñas, nombres de usuario, mensajes privados,...) y lo transmite por ondas de radio.
La técnica de AirHopper ha sido desarrollada por dos investigadores de la Universidad Ben Gurion, llamados Mordechai Guri y Yuval Elovici, y puede ser perfeccionada en un futuro. Por el momento tiene limitaciones, como que la víctima debe ser un dispositivo con receptores de RF (ya que la información se transmite mediante ondas de radio tipo FM) y no puede estar a más de 7 metros del atacante. AirHopper solo puede transmitir los datos capturados a una velocidad de entre 13-60 bytes/segundo, pero se puede seguir perfeccionando...


POWER VIRUS:

Hace años llegué a pensar que algún día sería posible crear virus que afectasen al hardware directamente, por ejemplo practicando overclocking a nuestros chips y achicharrandolos. Pues bien, ese tipo de virus ya se ha bautizado como "Power virus". 
Los Power Virus consiguen modificar el calor generado por la CPU para que supere a la disipación de potencia para la cual está pensado el sistema (vease: TDP o Thermal Design Power). Normalmente se emplean en pruebas durante el Benchmarking o empleados por fabricantes para ver como se comportaría el chip ante una subida de temperatura (test de estabilidad). 
Spinlock es un programa que crea estas condiciones, pero imagina que este tipo de software sea empleado para fines malévolos e infecte los sistemas informáticos, afectando a los chips. Aunque uno de los problemas que tiene es que necesitaría un código distinto para cada arquitectura de microprocesador...

ATAQUE POR CALOR:

Sí, has leído bien. Existen ataques por calor. Un equipo de investigadores de la Universidad Ben Gurion de Israel ha conseguido emplear un método para recopilar información de un ordenador víctima que ni siquiera es necesario que esté conectado. Incluso han podido enviar datos maliciosos sin conexión física ni de red. Solo se emplea el calor generado por el dispositivo debido a su funcionamiento.
El sistema se ha bautizado como BitWhisper y se vale de sensores térmicos para detectar la temperatura en distintos puntos del sistema y también puede hacer que la temperatura suba o baje (simulando 1s y 0s) en dichos puntos para inyectar código malicioso. Eso sí, tiene limitaciones, puesto que su límite de transferencia es de tan solo 8 bits por hora.
Así que lo que antes era un ordenador seguro, un AirGap, un PC o dispositivo desconectado de cualquier red, ya tampoco lo es con los últimos avances. Se puede decir que es casi imposible estar 100% seguros...