Archivo de la etiqueta: backdoors

Fantasmas y puertas traseras. Cruda realidad y futuro.


Autor: Rik Ferguson,
Vicepresidente de Investigación y Seguridad de Trend Micro

Últimamente, se ha hablado mucho sobre la Agencia Nacional de Seguridad estadounidense  (NSA) y su nivel de participación en los sistemas de cifrado en el mundo de la seguridad y de la criptografía.

Se han publicado varios artículos sobre los últimos avances  en tecnologías de criptoanálisis de la Agencia. El hecho de que la NSA haya estado impulsando la Criptografía de Curva Elíptica podría también entenderse como un indicador de que les gustaría que todos tengan mayor confianza en su seguridad y, por lo tanto, será más probable que la utilicen.

 

NSA

Por supuesto, está dentro de los límites de lo posible que la generalización de algoritmos tales como RSA y Diffie-Hellamn ya han sido comprometidos por cualquier agencia que tenga una gran capacidad de talento y el presupuesto correspondiente. Agencias como NSA tienen la ventaja de que son libres para utilizar toda la investigación que procede de su academia, pero, por supuesto, no están obligadas a compartirla, a nivel particular si se considera que no representa ninguna ventaja para la seguridad nacional.

No olvidemos que los algoritmos equivalentes tanto de Diffie-Hellamn y RSA Key Exchange en realidad fueron descritos en GCHQ de Gran Bretaña, pero se mantuvieron clasificados, y los descubrimientos académicos por separado vinieron después. Lo que me sorprende es que ¿NSA ha invertido importantes cantidades de dinero y recursos humanos sólo para mantener una ventaja en criptográfica? Definitivamente, no.

Una de las maneras más eficaces  para superar medidas de seguridad como el cifrado es que la tecnología subyacente se vea comprometida, quizá esto es lo que representa un mayor riesgo para los usuarios medios de Internet.

Mientras que un sistema o tecnología backdoor (ataque informático que permite acceder de forma remota a un host-víctima ignorando los procedimientos de autenticación y facilitando el acceso a la información del usuario sin su conocimiento) pueda ser utilizado con el objetivo de un programa de vigilancia, tiene potencialmente la misma probabilidad de ser utilizado por cualquier otra entidad individual o corporativa. Ese otro usuario puede no estar interesado en las agencias de seguridad de Estados Unidos, sin embargo, el hecho de que se hayan visto obligados a utilizar un sistema fundamentalmente débil deja mucho más abierto el campo a los ataques de otros Estados o de organizaciones de inteligencia.

Sería ingenuo pensar que otros países, a los que NSA puede considerar hostiles o adversarios (aunque ese término parezca estar aplicado a cualquiera que no esté al servicio de la NSA), no dedican recursos similares exactamente al mismo tipo de programa. Tal vez esto explica, en cierta medida, la actual condena en los círculos de inteligencia de Estados Unidos de que el hardware de red de origen chino que se suministra con varias debilidades indocumentadas y puertas traseras, sea como el  ladrón que quiere atrapar a otro ladrón.

Las debilidades diseñadas intencionadamente son un anatema para la seguridad efectiva y, por definición, hacen más difícil el desarrollo de un producto o servicio fundamentalmente seguro, sobre todo si esas debilidades se insertan en la base de la arquitectura de seguridad, como es el caso de sistemas operativos o, incluso, estándares criptográficos y algoritmos. La ley de las consecuencias no intencionadas indica que esas mismas debilidades bien podrían dar lugar a importantes «daños colaterales» y pérdida de propiedad intelectual comercial que, de otro modo, hubieran sido decisivas para mantener a los ciudadanos y a la nación seguras. A pesar de que la gran mayoría de usuarios de Internet y, por desgracia, una gran parte de las empresas comerciales aún no han hecho del cifrado una parte madura de su apartado de valores (con la posible excepción de las tecnologías VPN).

Estas últimas revelaciones del saco aparentemente sin fondo del Sr. Snowden pueden servir para socavar la confianza pública en la tecnología proporcionada por algunas empresas de seguridad, particularmente aquellas con operaciones en Estados Unidos, aunque tal vez ésta sea una reacción demasiado extrema. Valorémoslas a la luz de las revelaciones anteriores; si la NSA tenía la capacidad de descifrar, por ejemplo, el tráfico cifrado SSL a voluntad y de forma instantánea, entonces, no habría habido necesidad del programa PRISM antes detallado. En la mayoría de los casos, en el acceso a los sistemas del puesto de trabajo, parece que todavía es necesario para acceder a los datos, ya sea antes o después del proceso de cifrado/descifrado.

Un resultado más probable es que estas revelaciones propicien una nueva investigación sobre la aplicación práctica más eficiente de la criptografía simétrica y la distribución de claves para compartir secretos, así como una mayor incorporación de los marcos de código abierto en las tecnologías de cifrado comercial. El escrutinio de la población debería servir como confirmación de que el código subyacente no ha sido alterado de ninguna manera con intenciones maliciosas. Sin duda, muchas de las futuras innovaciones se centrarán en las aplicaciones prácticas de cifrado homomórfico, que permite que los datos cifrados sean procesados sin necesidad de ser totalmente descifrados, neutralizando la efectividad de cualquier compromiso directo del puesto de trabajo.

Mientras la NSA tenga niveles de acceso al flujo de datos a través de Internet sin precedentes, ya sean cifrados o no, lo que supone irrumpir en cualquier sistema o red que elijan, no olvidemos la promesa de Snowden de “el cifrado funciona”. Yo añadiré, si me lo permiten, “por ahora”.

 

Un vistazo a las amenazas más destacadas para Mac

Apple no es infalible ni totalmente segura. Trend Micro ofrece una infografía en la que recoge las principales amenazas a las que se han visto expuestos los productos de Apple en los últimos años, con el fin de concienciar a los usuarios de la necesidad de proteger sus sistemas, independientemente del que utilicen

El atractivo de los productos de Apple para las masas es innegable. Cada uno de los productos o versión de software que la compañías lanza al mercado a menudo es anticipado y presentado a bombo y platillo. El anuncio de la última versión de OS X Mountain Lion no ha sido una excepción. Aunque el software aún no haya sido lanzado, ya se han escrito varios artículos y decenas de noticias sobre sus características.

 

Una de las funciones que más ha llamado la atención y sobre la que más se ha hablado es Mountain Lion, un Gatekeeper que es una especie de lista blanca que ayuda a los usuarios a evitar la descarga de aplicaciones maliciosas. Esta función decide si las aplicaciones se pueden descargar o no dependiendo de su procedencia. Este gatekeeper se prevé que tenga 3 niveles: aplicaciones provenientes de App Store, procedentes de App Store y otros distribuidores autorizados y un último nivel que permite la descarga sin restricciones. Mientras que esta funcionalidad ha sido creada con buenas intenciones, sólo será cuestión de tiempo que los cibercriminales encuentren la forma de evitarla o utilizarla en su propio provecho.

 

La incorporación de este tipo de función de seguridad puede resultar sorprendente para algunos usuarios que todavía creen que la oferta de Mac no está expuesta a ningún riesgo cuando se trata de malware. De hecho, el equipo de investigación de Trend Micro recientemente ha detectado un nuevo malware para Mac que se hace pasar por un archivo de imagen. Éste a su vez manda otro archivo malicioso capaz de ejecutar comandos que permiten obtener información del sistema infectado.

 

Aunque el número de amenazas para Mac no es tan alto como el existente para Windows, no significa que el malware de Mac deba tomarse a la ligera. Al igual que sus homólogas de Windows, las amenazas para Mac pueden provocar serios daños en un sistema infectado.

 

A continuación Trend Micro ofrece la infografía “Rotten to the Core” para que los usuarios puedan echar un vistazo al malware más importante –y notorio- de Mac que se ha detectado en los últimos

años.

 

Así, en la lista del malware más destacado se incluyen:

 

  • DNS Changers: conocidos por  cambiar la configuración de red un sistema infectado para redirigir el tráfico de Internet a menudo a una URL maliciosa. Puede hacerse pasar por software legítimo o autorizado y por una aplicación para actualizar Snow Leopard y Quicktime Player. Fueron detectados en 2007, 2008 y 2009. Entre los ejemplos más conocidos se encuentran: DNSCHAN, RSPLUG y JAHLAV.

 

  • Puertas traseras y gusanos: se hace pasar por software legítimo, como iWork ´09 y Adobe Photoshop para Mac. Imita los archivos de imágenes de Mac OS Leopard. Con frecuencia permite a los hackers obtener el control de los sistemas infectados. Localizados en 2006, 2008, 2009, 2010 y 2011, entre los ejemplos más relevantes están: LEAP, LAMZEV, KROWI, HELLRTS y MUNIMIN.

 

  • Scareware: pretende ser un software antivirus autorizado simulando un escáner del sistema y presentando resultados falsos para engañar a los usuarios induciéndoles a la compra de la versión completa de la aplicación. Se convirtió en un virus tan generalizado y se extendió tan rápidamente que llevó a lanzar un parche inmediatamente. Detectado en 2008 y 2011, los dos casos más conocidos son: MACSWEEPER y MACDEFENDER.

 

  • Spyware: este malware permite el robo de información, puede rastrear y seguir conversaciones de las aplicaciones de mensajería instantánea (IM) más populares del mercado, así como los parches para navegadores y aplicaciones de red buscando nombres de usuarios y contraseñas. Localizado en 2010 y 2011, los ejemplos los encontramos en OPINIONSPY y FLASHBACK.

Más información en: http://blog.trendmicro.com/a-look-into-the-most-notorious-mac-threats/