|
Els Reis Mags van portar carbó a virus i 'phishing', els més dolents del 2005
Mercè Molist
http://ww2.grn.es/merce/
Els virus i el "phishing" (missatges que simulen venir d'una entitat bancària) han estat el pitjor de 2005, al costat de l'augment de xarxes d'ordinadors assaltats per a enviar aquests virus, fraus i correu escombraries. Destaca l'aparició d'un nou atac, el "pharming", i la creixent motivació econòmica dels criminals informàtics.
Les estadístiques dels centres espanyols d'atenció a incidències (CERT) són clares: durant el 2005, les pitjors amenaces han estat els virus, cucs i troians, el "phishing", els accessos il·legals a ordinadors mitjançant codis malèvols, atacs de força bruta per a trencar contrasenyes febles i cerques de ports amb fallades conegudes, els atacs a servidors web, especialment PHP, i els bombardejos.
Res de nou, diu Chelo Malagón, de l'IRIS-CERT: "Es confirma la tendència d'atacar a usuaris finals, connectats permanentment i poc protegits. Això fa que el nombre d'ordinadors assaltats sigui major i els atacs realitzats amb ells, més massius. També s'ha intensificat la venda de llistats d'equips compromesos i l'accés a serveis de comerç electrònic, per a obtenir informació dels seus usuaris".
Manuel García-Cervigón, de l'esCERT, afegeix: "El "phishing" s'ha duplicat i ha aparegut una nova modalitat, el "pharming", que consisteix a dur als usuaris a webs falses, manipulant el sistema de noms de domini (DNS). L'enginyeria social contínua sent el truc més utilitzat. Molts virus, el "phishing" i el "pharming" s'estan servint d'aquests mètodes".
El "pharming" apareixia públicament a l'abril, quan diversos atacs aprofitaven fallades de servidors Microsoft per a redirigir als usuaris de 700 llocs, com Americanexpress.com, Cnn.com o Msn.com, a webs falses on els introduïen programes espia. Quan l'usuari teclejava una adreça en el seu navegador, el servidor DNS atacat ("emmetzinat", en l'argot) li duia a la destinació falsa.
L'objectiu era recol·lectar informació de les víctimes per a vendre-la a emissors de correu escombraries. Un exemple més de la creixent motivació econòmica dels criminals electrònics i del seu ús i interrelació de distints atacs. Si abans es creaven virus o s'assaltaven ordinadors per diversió, ara es fa per a robar informació i prendre el control d'aquests equips, creant xarxes de centenars de milers que es vendran o llogaran, per a enviar correu escombraries, programes espia i més virus.
L'existència d'aquestes xarxes d'ordinadors esclaus s'ha confirmat en 2005, amb diverses agafades. A l'octubre, la policia holandesa detenia a tres homes, responsables d'una xarxa amb més de 100.000 equips compromesos. A l'estat espanyol, les accions policials s'han centrat en el" phishing", la pornografia infantil i els virus.
Al gener, la Guàrdia Civil detenia a Écija a A.R.B., de 20 anys, presumpte autor del virus Tasin. Dies després, queia a Madrid J.A.S., de 37 anys, acusat de difondre un troià en les xarxes P2P, per a robar dades bancàries. Al juny, la Policia Nacional detenia al conegut "P.Power", de 26 anys, qui creava i distribuïa codis que trencaven les proteccions de programes comercials. A Màlaga, queia una banda de 310 nigerians que enviaven missatges anunciant premis de loteria falsos.
També ha donat què parlar la sentència del cas del" Pernil i el Vi. Després de vuit anys d'instrucció, un jutge condemnava a dos anys de presó i multa de 300.000 euros a Fer13 i Maki, per la posada en circulació de "cracks" i distribució il·legal de programes en la seva mítica web. Havia estat el primer gran cas contra la pirateria de "programari" en la història de la xarxa espanyola.
Però no tot han estat problemes amb la llei. Experts espanyols en seguretat han descobert fallades d'abast mundial, com Hugo Vázquez, que ha denunciat vulnerabilitats en servidors web Cisco i el sistema de certificació SSL de Verisign. Un altre espanyol, Anelkaos, destapava un important forat en el correu gratuït de Google, Gmail. Jordi Corrals descobria una fallada en el client de xat mIRC que permetia prendre el control de l'equip afectat.
Les vulnerabilitats en programes han augmentat un 15%, segons l'esCERT. Les més importants a nivell d'usuari estan relacionades amb Windows (Internet Explorer, Microsoft Office i Outlook Express), reproductors multimèdia i missatgeria instantània. A nivell de serveis de xarxa, fallades en Windows i equips Cisco.
Puja el protagonisme de la seguretat informàtica en els mitjans, que s'han fet eco del "webdefacement" de la web de Esquerra Republicana de Catalunya, les càmeres de seguretat obertes a qualsevol per Internet, l'assalt a usuaris famosos de l'operadora T-Mobile i el robatori i publicació en la xarxa de l'agenda telefònica de Paris Hilton, el treballador d'Internet Security Systems que va dimitir perquè no li deixaven informar d'un forat en els encaminadors Cisco, o les afirmacions i desmentits sobre el tancament de la llegendària revista "Phrack", on aquest any han publicat articles diversos intrusos espanyols. A nivell més que anecdòtic, la realitat o llegenda urbana del "wannabe" que, en un canal de xat, va voler esborrar el disc dur d'un contrincant i va acabar esborrant el seu.
L'any del "phishing"
Aquest any ha vist l'extensió del "phishing" a Espanya, que ha afectat a la majoria d'entitats bancàries, explica José María Luque, responsable de seguretat de l'Associació d'Internautes: "Ha evolucionat a gran velocitat, dels primers correus amb fallades ortogràfiques als actuals, que emulen finestres amb l'adreça de l'entitat, donen nombres de fax perquè la víctima enviï les seves dades o inclouen falsos certificats d'autenticitat".
L'últim, diu, són "les ofertes falses de treball per a blanquejar els diners obtinguts del robatori de dades bancàries mitjançant "phishing", usant a persones innocents com intermediaris per a enviar a distintes destinacions els diners robats. Tenim un gran llistat de persones estafades d'aquesta forma".
Segons Luque, el 75% de" phishing" ha simulat venir d'entitats bancàries, el 20%, d'empreses de subhastes i intercanvi de diners i el 5% de webs falses de recarregues per a mòbils: "A principis de 2005 eren atacs esporàdics, al maig es van duplicar i des d'agost són continus. Abans aprofitaven els caps de setmana i dies festius, ara és rar que no es produeixi un gran atac gairebé diàriament".
Les entitats més afectades ha estat BBVA, Caja Madrid, Bancaixa i Ibjercaja. "Només Caja Madrid i Ibercaja van informar als seus clients per correu ordinari. Totes han posat en la seva web algun advertiment i cada vegada són més ràpides a tancar les webs falses on els estafadores recol·lecten les dades. A principis de 2005, la vida mitja d'una web falsa era de 7 a 12 dies. En els últims mesos és de 24 hores a 2 dies".
"SPAM" a discreció
El correu escombraries ha seguit el seu creixement exponencial en 2005. Jesús Sanz de les Heras, del Centre de Comunicacions de RedIRIS/Xarxa.és, ho atribueix a els codis maliciosos, instal·lats en PCs amb connexió residencial, que poden funcionar com un servidor de correu autònom, distribuint missatges que simulen procedir de la víctima". El 85% dels correus escombraries analitzats aquest any pel centre d'Alerta Antivirus corresponien a aquests virus.
La novetat de 2005 ha estat l'augment d'atacs del tipus "Directory Harvest Attack", per a recol·lectar adreces a les quals manar correu escombraries: "Consisteix a enviar desenes de milers de missatges a un domini, amb noms d'usuari a l'atzar. Els quals són retornats com "usuari desconegut" són rebutjats pels "spammers" i la resta són incorporats a les seves bases de dades, com adreces correctes. Això sobrecarrega enormement els servidors de correu", explica el tècnic de RedIRIS.
La lluita contra el "spam" es concentra, d'una banda, a evitar que s'enviï més escombraries des d'ordinadors infectats. Una mica difícil, segons Sanz de les Heras: "Les operadores no volen controlar el tràfic de correu sortint de les ADSL residencials, que en un 100% és maliciós, el que està obligant als destinataris a bloquejar-lo".
Però, per a filtrar aquest tràfic, és necessari identificar als emissors, alguna cosa també difícil ja que es barregen emissors autèntics amb emissors atacats. Aquest any s'han afermat dos possibles estàndards per a fer-lo: SPF (Sender Policy Framework), usat en RedIRIS i avalat per Microsoft i DKIM (Domain Keys Identified Internet Mail), per Cisco i Yahoo.
L'any que ve, diu Sanz de les Heras, apareixeran "nous tipus de" spam" més sociològics i enfocats a estafes. També els primers en Veu IP, les possibilitats de la qual per al" spam" són enormes, com les cridades automàtiques, el que generarà la recomanació: "Només reculli les cridades de persones de la seva confiança", amb la diferència que si no s'agafen es col·lapsen les terminals i no es poden rebre noves cridades".
Virus per tot arreu
La producció de codi maliciós ha sofert un espectacular augment en 2005, que seguirà el pròxim any, assegura Bernardo Quintero, responsable del servei VirusTotal de Hispasec Sistemes: "Els nous espècimens i variants s'han duplicat en l'últim semestre i només aquest any hem analitzat més de mig milió de mostres sospitoses".
Els virus han canviat, afirma: "Hem assistit a la seva professionalització, enfocada al frau econòmic, com l'augment de troians destinats al robatori de credencials de banca per Internet. Tot just s'han donat casos de propagació massiva, excepte Zotob a l'agost i Sober al novembre, per un canvi d'estratègia: en comptes de publicar un cuc que causi molt soroll, distribueixen moltes variants, per a dificultar la seva detecció".
També s'han diversificat les vies de contagi: "Encara que el correu electrònic segueix sent la principal, s'ha vist un clar augment de codi maliciós que arriba a través de pàgines web, dirigit a usuaris amb versions no actualitzades d'Internet Explorer. També hi ha hagut més cucs en la missatgeria instantània i segueixen apareixent proves de concepte per a telèfons mòbils, un brou de cultiu ideal per al codi maliciós en un futur pròxim".
Segons Quintero, aquest ha estat l'any que els antivirus han perdut la guerra: "No donen abastament. L'esquema clàssic i reactiu dels antivirus és insuficient contra la proliferació actual. Algunes empreses han respost amb polítiques més agressives, oferint actualitzacions cada hora. Encara així, no és suficient. Els usuaris segueixen infectant-se a causa del augment i diversitat de codi maliciós. Segons les nostres estadístiques, la mitjana de detecció primerenca efectiva que ofereixen els antivirus tot just arriba a un 50%".
L'expert destaca també l'augment de programes espia comercials, la punta del qual de l'iceberg ha estat el" rootkit" que Sony instal·lava en els ordinadors que executessin els seus CDs: "Cada vegada són més els productes comercials que inclouen aquestes tècniques. No és casualitat que els antivirus hagin trigat en actualitzar-se per a reconèixer aquest "rootkit". Hi ha controvèrsia sobre què han de detectar els antivirus, especialment quan aquestes tecnologies intrusives vénen de la mà d'una empresa, el que es tradueix en una falta de protecció per a l'usuari".
L'últim esglai de l'any
Alguns l'han anomenat "el malson de Nadal de Microsoft": el 27 de desembre, es coneixia una greu fallada en la forma com Windows maneja els arxius Windows Mitja File (.WMF). Si s'obre o es visualitza una imatge d'aquest tipus que contingui codi maliciós, amb Internet Explorer, Outlook, el visor de fax i imatges, l'Explorador de Windows o el programa Lotus Notis, obrirà un forat en l'ordinador per on podran entrar virus i altres intrusos.
Afecta a totes les versions de Windows, des de la 3.0, especialment XP, 2000 i 2003. El que fa més perillós la fallada és que només mirar una pàgina web, previsualitzar una foto amb el programa de correu o guardar-la en l'ordinador és suficient per a infectar-se, sense necessitat d'obrir-la. Les imatges, amb format .WMF, arriben emmascarades com si fossin els populars .JPG, .GIF o .DOC, per exemple "HappyNewYear.jpg". Ja han aparegut programes que creen aquestes imatges automàticament, per a usuaris maliciosos inexperts, qui després les posaran en una web, les enviaran per missatgeria instantània o per correu.
En els primers dies de l'any, l'alarma s'ha estès per la xarxa, amb cada vegada més usuaris i empreses afectats, segons el SANS Institute. Encara que s'esperava que Microsoft reaccionés amb urgència, la companyia va decidir no oferir un pegat fins al 10 de gener i només per a Windows a partir de XP. Mentre, els weblogs, llistes de correu i avisos de les empreses de seguretat bullien amb noves notícies sobre la multiplicació de codi maliciós que aprofitava aquesta vulnerabilitat i l'assalt a webs de confiança per a
penjar en elles imatges infectades.
Al ser els atacs tan ràpids i diversificats, la majoria de programes antivirus no podien detectar-los tots. A més, coincidia amb les vacances de Nadal. Molts usuaris no estaven al punt del problema quan arribaven a les seves oficines i era més fàcil que anessin víctimes. La primera recomanació d'urgència dels experts en seguretat va anar que s'inhabilités la càrrega d'imatges en els programes afectats.
El 31 de desembre, l'especialista rus en Windows Ilfak Guilfanov publicava un pegat per a solucionar el problema. AL no ser un pegat oficial de Microsoft, la companyia ho va desaconsellar. Però, per primera vegada en la història, les principals empreses i grups de seguretat, com l'Internet Storm Center, F-Secure o Panda Programari, van desoir a Microsoft i van recomanar als seus clients que instal·lessin el remei no oficial. Finalment, Microsoft va publicar el seu pegat el 5 de gener.
Estadístiques IRIS-CERT (Gener-Octubre 2005)
| Sondejos de ports |
751 |
| Denegació de Servei (DoS) |
14 |
| Troians |
2 |
| Ús no autoritzat |
19 |
| Accés no autoritzat |
67 |
| Altres (warez, phishing, etc) |
22 |
Llocs recomanats
- Kriptópolis
http://www.kriptopolis.org
El santanderí José Manuel Gómez és el pare d'aquesta web, nascuda en 1996, una de les més veteranes dedicades a informar en castellà sobre seguretat informàtica, privadesa, criptografia, ciberdrets i temes semblants. Actualment reconvertida en un weblog col·lectiu, ofereix diàriament informació d'alta qualitat, difícil de trobar en altres llocs.
- Hispasec
http://www.hispasec.com
Web nascuda en 1998, arran de l'engegada d'un servei gratuït inèdit en la xarxa espanyola: el butlletí "Una-al-dia" que, com el seu nom indica, informa diàriament sobre l'actualitat en seguretat informàtica. La web ofereix altre servei gratuït, VirusTotal, al que es poden enviar fitxers per a saber si contenen virus.
- VSAntivirus
http://www.vsantivirus.com
Detallat magatzem d'informació sobre l'actualitat en el món dels programes maliciosos, creat des d'Uruguai. Ofereix també articles generalistes com "Guia ràpida per al blindatge del seu PC", "Com recuperar arxius esborrats" o "Com configurar Zone Alarm". El seu butlletí diari d'alertes per correu és molt recomanable.
- Centre d'Alerta Primerenca Antivirus
http://alerta-antivirus.red.es
Excel·lent recurs creat red.es que informa en temps real sobre els virus detectats en les xarxes espanyoles, amb el seu nom, descripció, índex de perillositat i estadístiques. Altres seccions inclouen alertes per correu electrònic, vulnerabilitats en programes, el" Manual de seguretat en Internet" o eines gratuïtes de protecció.
- Seguretat Associació d'Internautes
http://seguridad.internautas.org
Informació completa i comprensible sobretot tipus de temàtiques: programes maliciosos, vulnerabilitats, criptografia, intrusions, privadesa, correu escombraries, banca per Internet. Ofereix notícies diàries sobre seguretat informàtica, amb especial atenció a la xarxa espanyola.
- Rompecadenas
http://www.rompecadenas.com.ar
Veterana web argentina especialitzada a informar sobre els "hoaxes" o missatges falsos que circulen per correu electrònic, com cartes per a ajudar a nens malalts que no existeixen, falses alertes de virus o mètodes per a fer-se milionari. Conté extensa informació sobre correu escombraries, llegendes urbanes i consells per a no creure tot el que circula per la xarxa.
Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
|
© Copyright 2003-2006 Xavier Caballé.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
|
|
