Detectan troyano contra usuarios de PGP
Enviado por admin el 27. Marzo 2008 - 18:59.
Maarten Van Horenbeeck narra hoy en SANS ISC un interesante hallazgo: un ejemplar de malware que no detectan la mayor parte de los antivirus y que llegó camuflado en un fichero de ayuda de Windows (extensión CHM).
Una vez infectada la máquina, el troyano se conecta a un servidor de Hong Kong, desde donde descarga un ejecutable que se encarga de la segunda fase del ataque. En ésta se realiza la conexión a un segundo servidor, que responde con datos codificados en BASE64. Una vez decodificados, su contenido es el siguiente:
netmgetr usb:\*.doc
netmgetr usb:\*.pkr
netmgetr usb:\*.skr
netlsr usb:\*.*
La función de netmgetr es revisar el sistema en busca de los ficheros cuyas extensiones se explicitan (entre ellos los anillos de claves públicas y secretas de cifrado PGP).
Pero, ¿de qué sirve una clave secreta sin su frase-contraseña? No hay problema..
Para resolver la cuestión se acompaña de un keylogger, que se encarga de registrar las pulsaciones del teclado, obteniendo posiblemente la contraseña que desbloquea la clave secreta.
Van Horenbeeck reconoce no haber comprobado este último extremo, aunque afirma que la meta del atacante parece ser realizar un análisis del tráfico cifrado del usuario, es decir, averiguar con quién intercambia éste mensajes cifrados.
¿Quién puede poner en circulación un troyano semejante? Teorías conspirativas al margen, el incidente demuestra que nadie se molesta en romper el cifrado de PGP atacando sus algoritmos, sino obteniendo las claves "in the wild", algo que por otra parte es absolutamente lógico. Se conoce como "ley del mínimo esfuerzo" y resulta muy atractiva (y muy peligrosa) en todos los órdenes de la vida.
Este se ve como un ataque
Este se ve como un ataque sofisticado cuyo objetivo es conseguir las claves de nuestras informaciones encriptadas. Ya estos hackers han tomado esto mas que un juego como un negocio.
Pregunto: segun este articulo que la mayoria de los programas antivirus no reconoce esta reciente amenaza, cuales programas lo detectan?
Lenis
www.tecnoseguridad.net
¿y esto para qué?
¿Y esto de qué sirve? Que alguien me lo explique, que no lo veo claro.
Supongamos que el pirata consigue meter toda esa mierda en mi ordenador (que ya es mucho suponer). Supongamos que funciona y que consigue hacerse con mis claves privadas. Las públicas no le valen para nada.
Las privadas tampoco le valen si no tiene mi contraseña.
Vale, entra en acción el keylogger. Supongamos que al pirata le llega todo lo que tecleo. Entre todo eso que recibe, tiene que buscar la contraseña, que es como buscar una aguja en un pajar (en mi caso pueden pasar meses entre un tecleado de contraseña y el siguiente, y en medio hay millones de teclazos que no le interesan nada al pirata).
Supongamos que el pirata tiene alguna forma efectiva de buscar entre el texto tecleado y consigue mi contraseña.
¿Para qué le vale si no tiene los archivos que yo he encriptado?
No le vale para nada.
Le puede valer para suplantarme y encriptar cosas en mi nombre ¿qué cosas? y para mandarlas ¿a quién??? ¿Qué interés puede tener?
Supongamos que de alguna forma el pirata se hace con mis ficheros encriptados y se toma la molestia de desencriptarlos, y de examinar su contenido... solo para ver que no hay nada que le interesa realmente.
Y este trabajo que se ha tomado conmigo lo multiplicamos por miles y miles de nuevos "clientes" que le llegarán cada día
al pirata (suponiendo que el virus funcione).
Hmmm... me parece poco rentable este empleo que se ha buscado el pirata ¿no?
Este tipo de ataque lo entendería si fuera dirigido a una sola persona muy concreta a la que el pirata tenga interés de pillarle un cierto fichero muy concreto con unos datos muy concretos que le interesan sobremanera.
Pero hacerlo de forma indiscriminada... pues no lo veo, la verdad.
Pues por ejemplo
Imagina que pesca la clave con la que se firman ciertos ficheros para garantizar su integridad. El pirata puede sustituirlos por otro troyano y cargarse la reputación del fabricante de paso.
También podría llevarse las claves privadas de un servidor SSL y utilizarlas para otro falso.
Es como todo. A lo mejor no le sirve de mucho lo que yo tenga en mi PC, pero lo que tengan otros puede valer su peso en oro.
Y no pierdas de vista el interés de los datos de tráfico. Hay gente muuuuuy interesada en saber con quién se escriben algunas personas...
Más fácil (y más grave)
Quien utiliza PGP lo hace para garantizar la confidencialidad, la integridad y/o el no repudio.
Este troyano acaba con las tres cosas.
¿Te parece poco?
Eso sí: si no usas PGP, o lo usas sin saber para qué, entonces sí te da lo mismo ;)
Para justo lo contrario del que encripta
Pues lo dicho, para hacer justo lo contrario del que intenta protegerse.
Si no te importa que un cualquiera pueda ver tus datos encriptados y suplantar tu identidad, ¿para que lo haces?
Además, quizas gente lo use sin saber por qué, pero muchos otros los usan para protegerse [aunque no sea el caso de los militares, como se ha visto por aquí ;-) ]
Todo tiene algún valor para alguien...
A veces hay información muy valiosa. En el caso de una empresa, pasa por el espionaje industrial/comercial. En el caso de un particular, alguien más puede estar interesado en lo que tienes, o en lo que haces.
Algunos ejemplos:
- conozco hechos concretos de parejas que sospechaban que estaban siendo engañadas, y mediante un keylogger consiguieron acceso al webmail/msn o similares, y comprobaron o descartaron los hechos.
- conozco familias, padres, que sospechaban que sus hijos/as podían estar siendo engañados por algún tercero, o andar con personas o en situaciones peligrosas, y les instalaron keyloggers para conocer qué hacian y con quién andaban.
- estafas bancarias y en sitios de subastas: especialmente en los cybers, los atacantes dejan keyloggers para capturar información sensible.
He conocido casos más elaborados, que como no podían acceder a la computadora de la persona a investigar, les envíaban algún troyano o los hacian ingresar en alguna página falsa.
Así como antes estaban los viejos detectives privados, cuyo trabajo principal era perseguir infieles, con cámaras de fotos y micrófonos, y raras veces haciendo espionaje industrial/comercial, hoy se hace lo mismo también en el cyberespacio, y muuuuuuucho más seguido de lo que crees. Hay mucha gente que paga por estos servicios. Te sorprenderías.
Tal vez este troyano fue hecho solo para algo muy particular, que se escapó de su ámbito de ataque y se divulgó mucho más allá de lo que estaba previsto por su autor. Nunca se sabe.
Un ejemplo malicioso de su uso.
Datos sensibles como contraseñas de Banco, Certificados de usuario, y todo aquello que no deseas que fuera publico. O como ha comentado otro comentarista, acceso a las claves SSl, FTP, SSH, control remoto, etc.
Puede suplantarte totalmente, manejarte tus cuentas bancarias, la Tarjeta de Credito, transferirte saldo de tu movil, pagar con Tarjetas de Credito de un solo uso. Es mas, puede cambiarte la direccion de envio de correspondencia, solicitar una nueva Tarjeta de Credito sin que tu te enteres. Podria tambien cambiarte tu declaracion de Renta y cambiar la cuenta de domiciliacion.
Solución, como detectarlo
Podrían, si no es mucho pedir, proporcionarnos instrucciones para protegernos y para eliminar estos troyanos en caso de estar infectados..?
Si ya decía yo... ;-)
Hombre, no lo decía, pero más de una vez he pensado que tanta interactividad de los CHM no podía llevar a nada bueno :/ Una pena que encima se confirme un ataque a través de ellos y nada menos que a PGP. Pero lo "raro" es que no haya incluido las extensiones de GPG, que igualmente se verían afectadas, o eso creo yo.
A propósito de los keylogger
Hola a todos.
En primer lugar os digo que sólo soy un usuario a nivel personal de informática, así que os ruego disculpéis lo que pueda ser ignorancia mía.
He leído el artículo y los comentarios, y aprovechando que se habla de estos detectores de lo que se escribe en el teclado del ordenador, tengo una pregunta que hacer que si bien se sale algo del tema, sin duda que habrá gente a la que le pase como a mí.
Para algunos de vosotros que conocéis bien estas cuestiones os será fácil responder brevemente.
El caso es que hay ocasiones en las que tengo que introducir un password en el ordenador, y cuando estoy en el cajetín donde se me pide la clave, la barrita vertical que siempre aparece y que es la que me dice por donde voy introduciendo las teclas (no sé como se llama), pues aparece intermitente, quitándose y poniéndose, pero muy rápido, muy rápido.
Tal es así que siempre que esto sucede yo nunca entro, me salgo y busco otro momento más apropiado. Y eso lo hago por que es que casi tengo la seguridad de que hay "algo por detrás" que está esperando que escriba para saber qué es lo que estoy tecleando.
No es que me pase esto mucho, pero de año en año me puede pasar 1 ó 2 veces. Ultimamente me pasa en un blog de prueba que me estuve creando en www.blogger.com, y hace meses que no entro para seguir con las pruebas, pues no hay forma de entrar a poner el password sin que suceda eso que os cuento.
Suele suceder en estos casos, aunque quizá no siempre, que esa barrita vertical de la que os hablo, en la parte superior, continúa hacia la derecha,en horizontal, formando como un diminuto ángulo recto.
En fin, esto es lo que os quería preguntar.
Gracias y que tengáis una buena semana todos.
Opinar