viernes, 26 de septiembre de 2014

Los débiles tienen un arma

Los débiles tienen un arma: los errores de los que se creen fuertes. Con esta cita, Georges Bidault, político francés de la Segunda Guerra Mundial, señalaba ya entonces el mayor peligro al que la sociedad se enfrentaba: la debilidad de no reconocer nuestros propios errores.


Más de medio siglo después, recuperamos horrorizados sus palabras, al conocer algunas de las múltiples implicaciones que tiene el descubrimiento de Shellshock, la vulnerabilidad en la gestión de variables de entorno de bash, para el futuro de Internet tal y como lo conocemos. ELF_BASHLITE.A es el nombre técnico del primer malware descubierto y creado específicamente para explotar esta vulnerabilidad, que permite, mediante algunos sencillos comandos, realizar técnicas de fuerza bruta para robar credenciales de acceso, suplantar identidades y denegar el servicio en cualquier servidor conectado a internet vulnerable (que a día de hoy son la gran mayoría).

Errores de implementación, o picaresca de los malos, que han llevado a los analistas de la firma de antivirus Kaspersky a explicar con sumo detenimiento el funcionamiento interno y técnico de algunas campañas de phishing dirigidas a usuarios de Boletos, un sistema de cheques muy utilizado en Brasil para el pago. La conjunción de técnicas de inyección de código en la generación de este tipo de documentos, así como la suplantación de identificadores en el mismo, hace que la víctima, al ir a pagar al banco o establecimiento oportuno el Boleto, se encuentre con que el código de barras no es leído, y a que el identificador alfanumérico redirige a una cuenta bancaria que no es la real. Otras veces, la extorsión se realiza mediante enlaces maliciosos que cambian el código de barras, bien sea interfiriendo en las comunicaciones cliente servidor (man in the middle, man in the browser), o con la proliferación de malware que cambia dinámicamente este tipo de boletos en los dispositivos móviles donde se descargan.

Los bancos siguen siendo dianas de las bandas criminales. Tinba, uno de los troyanos bancarios que más ha evolucionado con el tiempo, recibía recientemente una nueva variante. Históricamente, el troyano, de poco peso, inyectaba procesos en el sistema que le permitían capturar el tráfico y las acciones de los usuarios con el fin de robar credenciales de acceso a cuentas bancarias. La nueva versión, además de incluir mejoras para protegerse de las nuevas medidas de seguridad, ha optado por redirigir las peticiones de acceso a páginas bancarias hacia URLs gestionadas por la banda y con un diseño semejante. Una vez se insertan los datos, vuelve a enviar a la página real, y la información ya ha sido robada.

El malware evoluciona a pasos agigantados, por ello no es de extrañar que tanto las compañías de seguridad como los cuerpos policiales tengan entre sus filas verdaderos robots de análisis automatizados. El evento Virus Bulletin que se celebra estos días en Seattle nos ha dejado un resumen del funcionamiento de Malware Investigator, la herramienta utilizada por el FBI para estos menesteres. Una agencia que poco a poco abre sus puertas con herramientas de este tipo a empresas privadas, públicas y ciudadanos, que ayudan a mejorar día a día su eficacia.

A principios de semana hablábamos de la decisión de Apple de cifrar por defecto la información de sus clientes en el propio dispositivo, siendo imposible para la compañía conocer lo que hay en su interior, y por tanto, dar acceso a los cuerpos de seguridad y agencias gubernamentales que así lo pidieran. Hoy conocemos el otro lado de la balanza, representado por James Corney, director del FBI, que avisa del peligro de este tipo de estrategias: “Los usuarios pasan a estar fuera de la ley”, lo que sin duda dificulta la labor del organismo, y juega en contra de los ciudadanos: "Llegará un día en el que frente a un gran, gran problema que ponga en riesgo la vida de las personas, seamos incapaces, incluso con autorización judicial, de acceder al dispositivo de un secuestrador, un criminal o un terrorista".

Y terminamos con un artículo de opinión, esta vez de los chicos de SecurityArtWork, sobre los riesgos del internet of things. Miguel A. Juan nos cuenta la historia de uno de sus amigos, informático, y que descubre por pura casualidad que la cafetera de su oficina tiene línea directa por 3G con el servicio técnico. Una idea brillante (si algo falla, el servicio se da cuenta y manda a un técnico), pero que entraña peligros teniendo en cuenta que posiblemente ese tipo de dispositivos estén presentes en la mayoría de oficinas, que pueden ser hackeables, y que podrían transformarse en un vector más de robo de información corporativa.

Seis temas de rabiosa actualidad para la píldora diaria del CIGTR, en nuestro afán por manteneros informados de todo lo que acontece en materia de seguridad y riesgo digital.

0 comentarios:

Publicar un comentario