04 Feb

5. Malware i cibercrim

En aquest mòdul veurem què és el malware o software maliciós i com es propaga, és a dir, com arriba fins als usuaris. També veurem què són les botnet, vinculades al cibercrim, i veurem l’estructura d’un atac complet.

CONCEPTES I PROPAGACIÓ

A la comunitat del GNU diuen, així, tal qual, que “El software de Microsoft és malware“. Però què és el malware? Doncs software maliciós (de l’anglès MALicious softWARE), un tipus de programari que s’injecta dins de les aplicacions o sistemes operatius a través del seu codi de programació i que pot, per exemple, espiar l’usuari. Cada clic que fem genera dades i n’hi ha que les recullen…”es para escucharte mejooooor” que li deia el llop a La Caputxeta.

Per distingir entre els diferents tipus de malware el classificarem en funció de com es propaga. Aquí les categories:

  • Virus: un malware molt bàsic. Diu en Federico que menys d’un 4% del malware existent són virus. Està programat per fet mal i es propaga d’usuari a usuari, com un encostipat. Els virus poden borrar arxius o apagar un sistema, per exemple.
  • Troians: aparentments inofensius, com el cavall de Troia. Quina ilu que es faci servir la mitologia en seguretat informàtica :) Els Troians són un tipus de malware que a priori no suposa perill. Però un cop instal·lat el programa, el codi maliciós del Troià, pot realitzar alguna acció, com descarregar un altre software que pugui atacar la màquina. Es propaga normalment amb enginyeria social. La personeta creu que és alguna cosa bona, ho descarrega i acaba essent perjudicial. Els Troians es colen a l’equip però no necessàriament han de fer mal. 
  • Cucs: no són maliciosos en particular i no requereixen de la interacció de l’usuari per propagar-se, es propaguen automàticament a través de les vulnerabilitats d’un sistema. Els cucs troben vulnerabilitats per la xarxa i les exploten. No es poden detectar com a arxius perquè són una part de codi d’un paquet de la xarxa.
  • Adware i Spyware: espien l’usuari quan està circulant tant alegrement per Internet, sobretot amb anuncis.
  • Rogue: aquest sembla que és el més nou i consisteix en fals software, un fals programa antivirus, per exemple. No està pensat per espiar sinó per extorsionar les personetes i treure’ls-hi diners.

El que avui dia (gener 2016) és molt freqüent és crear programari maliciós per tal que l’usuari formi part d’una botnet. Diu en Federico que una botnet és un sistema distribuït de computadores que estan controlades per un atacant.

InfoSec_malware_report_ms

He fet aquesta captura del “quesito” del vídeo de curs.

Evidentment, el malware fa servir tota mena de tècniques per tal de no ser detectat per un programa antivirus, com tècniques criptogràfiques, empaquetament (packers), ofuscació de codi, s’uneixen a altres arxius…

Lògicament, a través d’Internet o no, ens podem infectar amb qualsevol cosa:

  • Internet o Xarxes: drive-by-download, correu electrònic, adware o cucs. El drive-by-download consisteix en que un atacant ataca un lloc web i quan un usuari es connecta al lloc web, és atacat. No s’ataca, doncs, la web pròpiament sinó que la web serveix de plataforma per poder atacar els usuaris. En resum, que només per navegar per Internet podem infectar-nos. Per evitar-ho, hem de ser cautelosos amb les pàgines que visitem i hauriem de fixar-nos en la reputació de la web abans de clicar un enllaç.
  • Extraíbles: pendrives o disc durs externs.

Com es veu al “quesito”, guanyen els Troians. Però un troià no s’executa sol sinó que necessita de la interacció de l’usuari…Així que, en última instància, la culpa seria de l’usuari, que no para atenció amb el software que descarrega…En resum: “Think before Click”, que em va dir un cop un compi pinoy :)

Destacar que el adware ha baixat en els darrers dos anys. I no és casualitat. Tot i no parlar directament d’Adblock, en Federico comenta que hi ha avui opcions al navegador que permeten eliminar les publicitats. Jo, de fet, no en veig ni una. Si vull anuncis, em miro un Cannes Lions. Un problema menys pels usuaris però un problema més per les empreses. L’adware, doncs, baixa, però els troians segueixen a l’alça. Això sembla la borsa de la maliciositat, com la que hi ha a Wall Street però infinitament més silenciosa.

Com podem saber que una pàgina no conté codi maliciós? Doncs haurem de delegar la confiança en el nostre antivirus. Jo faig servir Avast. Com podem saber que un programa no conté codi maliciós? Doncs si és lliure no hi ha problema perquè ho podem mirar nosaltres mateixos, però si el software és propietari, no ho podem saber perquè no tenim accés a la lectura del codi…

En un apunt gastronòmic -i parafrasejant una analogia d’Stallman-, el software és com un àpat. Pots anar a un restaurant caríssim (i boníssim, és clar!) i pagar una pasta. Però si demanes la recepta al cuiner no te la donarà mai…així que no t’ho podràs cuinar tu a casa. Potser t’és igual o potser desconfies.

En canvi, si dines a casa de la iaia el cost del menjar serà zero i estarà boníssim igual. I no només et donarà la recepta sinó que estarà encantada que li facis de “pinche” i puguis veure per tu mateix com arriba a fer unes mandonguilles tant bones. A més, no et denunciarà si li copies la recepta o la modifiques afegint-li o traient-li algun ingredient. I tampoc s’enfadarà amb tu si comparteixes la recepta amb altres personetes.

Aquí un mapilla mundial d’atacs Drive-by-download que he tret d’aquí: http://www.thewindowsclub.com/drive-by-downloads

InfoSec_drive-by-download_report_ms

BOTNETS I CIBERCRIM 

Qui crea el malware i per què? Per guanyar diners, normalment. Hi ha persones que programen per altres que ho demanen. Mercenaris 2.0. Hi ha una xarxa de distribució, que també cobra per contactar les víctimes. L’amo de la botnet, que el té perquè ha fet que altres ho creen i l’ha pagat, contacta amb intermediaris que fan de distribució. Es pot col·locar el malware en una foto de Facebook (només clicant-hi ja ens infectem), es pot posar als servidors online…fins que arriba a l’usuari.

La cosa és que el malware es pot quedar ràpidament obsolet perquè els antivirus es van actualitzant constantment, fins i tot, diverses vegades al dia. Per evitar això, el desenvolupador es connecta al malware de les computadores a través d’un panell de control o d’administració (botmaster) per enviar-els-hi una actualització del malware. Com el botnet té característiques de connexió remota, el codi maliciós també s’actualitza…De la xarxa de computadores vampiritzades en diuen computadores zombi.  Una botnet petita pot tenir un miler d’usuaris, una gran botnet pot tenir 150.000 usuaris.

Al connectar-se a les computadores, el desenvolupador pot fer atacs de phising (el timo de la estampita 2.0) o emmagatzemar contingut il·legal i poder comercialitzar-lo alegrement, o també pot fer allotjar SPAM o altres tipus d’atacs com DDoS o Drive-by-download. Tot plegat afecta a tothom: persones, empreses i governs.

Com es guanya diners fent tot aixó? En realitat no es guanya diners per l’atac en si mateix, sinó a través d’una tècnica comercialment més neta: el subarrendament de fragments de la botnet. Es podria donar el cas de llogar una botnet per mitja hora i fer un atac DDoS a un sistema. Et donen 30 segons de prova gratuïta per comprovar que tot funciona i, si la llogues, pots apropiar-te d’informació que després pots vendre tu. Quin merder…La penya s’embolica fent cada cosa…Tot un veritable model de negoci…I molt rentable es veu…Només el phising mou 6.000 milions de dòlars anuals.

EL PROCÉS D’UN ATAC

Un atac tipus botnet tindria la següent seqüència:

  1. S’infecta l’objectiu
  2. Relleu de l’equip (presa de control)
  3. Captura d’informació
  4. Manteniment de l’accés
  5. Administració remota

Potser però no s’ataca des d’una botnet sinó que es pot produir un atac puntual. En aquest cas, l’atacant no tindria interès en mantenir l’accès sinó que tancaria el cicle de la infecció. Per fer-ho, desinfectaria l’equip, esborraria les seves traces i sortiria del sistema.

CONCLUSIONS 
  • El malware és una amenaça a l’alça
  • Les tècniques d’atac i propagació milloren dia a dia i es reinventen
  • El cibercrim és un negoci milionari
  • És possible infectar-se pel sol fet de navegar per Internet (de fet, és com un esport de risc)
  • El cibercrim funciona a través de botnets
  • És vital tenir un bon software antivirus i vetllar per la seva actualització

Segueix a 6. Criptografia i ciberseguretat

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *