Electronic Frontier Foundation
Hace tiempo que sospechábamos que la NSA, la mas grande agencia de espionaje del mundo, era bastante buena infiltrándose en los ordenadores. Pero ahora, gracias a un artículo del experto en seguridad Bruce Schneier, que trabaja en The Guardian revisando los documentos de Snowden, tenemos una visión mucho más detallada de la forma en que la NSA explota vulnerabilidades para infectar ordenadores con código malicioso. Las técnicas usadas por la NSA son ampliamente utilizadas por delincuentes y defraudadores, así como por agencias de inteligencia extranjeras, por lo que es importante entender cómo funciona y evitar así caer víctima de la plétora de amenazas que hay ahí afuera.
¿Cómo funciona exactamente el código malicioso?
Por lo general, para usar código malicioso hacen falta dos pasos. Primero, como atacante, tienes que conseguir que tu víctima visite una página web que esta bajo tu control. Segundo, tienes que insertar software (conocido como malware = código malicioso) en el ordenador de la víctima con el fin de obtener el control de su máquina. Esta fórmula no es universal, pero es así como suelen funcionar los ataques basados en web.
Para conseguir que un usuario visite una página web el atacante puede enviar a la victima un email que contiene un enlace a la página web en cuestión, es un tipo de ataque conocido como phishing. La NSA, segun se ha informado, en ocasiones practica Phishing, pero hemos visto que este paso normalmente se lleva a cabo mediante un ataque conocido como “man-in-the-middle attack”“. La NSA controla un grupo de servidores con el nombre en código “Quantum” situados en las vías troncales de internet, y estos servidores son usados para desviar a las víctimas de los destinos solicitados y dirigirlos a otros servidores también controlados por la NSA, que son los que inyectan el código malicioso. Por ejemplo, si un usuario visita yahoo.com, el navegador del usuario mostrará la página principal de Yahoo pero de hecho estará intercambiando datos con un servidor controlado por la NSA. Esta versión fraudulenta de Yahoo le dirá al navegador de la víctima que realice en segundo plano una petición a otro servidor controlado por la NSA que insertará el código malicioso.
Una vez que la victima visita la web maliciosa ¿cómo hace el atacante para infectar su ordenador? El método quizas más directo sea hacer que el usuario instale y ejecute algún programa. Un anuncio emergente bien diseñado puede hacer que el usuario instale el malware del atacante, por ejemplo.
Pero este método no siempre funciona, y requiere de la acción del usuario para descargar y ejecutar software. En cambio los atacantes pueden explotar vulnerabilidades del navegador que usa la víctima y conseguir acceso a su ordenador. Cuando un usuario carga los datos de una página web, el software del navegador realiza tareas como leer el código que le envía el servidor, y a menudo usará extensiones como Flash para ejecutar código que le entrega el servidor, ademas de ejecutar código Javascript que también le da el servidor. Pero el software del navegador, que cada vez es mas complejo al tener que atender un mayor numero de funcionalidades de las paginas web, no funciona de forma perfecta. Como todo software, también tiene fallos, y a veces son fallos de seguridad que un atacante puede usar para acceder al ordenador de la víctima simplemente por haber visitado un sitio concreto. Cuando los fabricantes de navegadores descubren fallos en su software normalmente lo arreglan, pero en ocasiones el software de los usuarios no esta actualizado y es por ello vulnerable a algun ataque conocido. En otras ocasiones las vulnerabilidades son sólo conocidas por los atacantes y no por los fabricantes de navegadores, estas se llaman vulnerabilidades "zero-day".
La NSA tiene un grupo de serrvidores en internet conocidos por el nombre en clave “FoxAcid” utilizados para diseminar código malicioso. Una vez que sus servidores Quantum redirigen a los usuarios a direcciones fabricadas en servidores FoxAcid, el software del servidor FoxAcid selecciona de un conjunto de herramientas para acceder al ordenador del usuario. Seguramente en este conjunto hay herramientas tanto para explotar vulnerabilidades conocidas, por si hay usuarios con software sin actualizar, como vulnerabilidades “zero-day” desconocidas, que generalmente se guardan para objetivos de gran valor. La agencia luego, según se ha informado, usa el software insertado inicial para instalar software de mayor duración.
Una vez que el atacante ha conseguido infectar a la víctima con malware, el atacante por lo general tiene control total a las máquinas del usuario: puede grabar las pulsaciones del teclado (que revelan contraseñas y otra información sensible), encender una webcam o un microfono o leer cualquier información guardada en el ordenador de la víctima.
¿Qué pueden hacer los usuarios para protegerse?
Esperamos que estas revelaciones hagan que los fabricantes de navegadores se pongan en acción, para hacer sus sistemas más robustos y traten de detectar y bloquear código malicioso enviado por direcciones alojadas en servidores FoxAcid. Mientras tanto, los usuarios preocupados por su seguridad deberian mantener una buena higiene informatica de seguridad. Mantén siempre tu software actualizado -especialmente extensiones del navegador como Flash que requieren de actualización manual. Asegúrate de que puedes distinguir entre actualizaciones legítimas y anuncios emergentes que se disfrazan como actualizaciones de software. Nunca hagas click en un enlace en un email sospechoso.
Para los usuarios que quieran ir un paso más allá en su seguridad, y creemos que todo el mundo debe estar aquí, considera el hacer que los plugins (extensiones) como Flash y Java sean “click-to-play” (click para ejecutar) de forma que no se ejecuten en ninguna página web hasta que des el consentimiento haciendo click. Para Chrome y Chromium esta opción esta en Configuracion => opciones avanzadas => privacidad/configuracion de contenido => complementos => hacer click para reproducir. Para Firefox, esta funcionalidad esta disponible instalando un complemento del navegador como “Click to Play per-element”. Los plugins también se pueden desintslar o desconectar. Los usuarios también deberían usar software para bloquear anuncios y detener peticiones web innecesarias a terceros y nuestro HTTPS Everywhere add-on para encriptar conexiones a sitios web con HTTPS. Finalmente para usuarios que estan dispuestos a sufrir un poco mas cuando navegan por internet, considera usar extensiones como NotScripts (Chrome) o NoScript (Firefox) para limitar la ejecución de scripts. Esto quiere decir que tendrás que hacer click para permitir que se ejecuten los scripts, y como Javascript es muy prevalente, tendrás que hacer click muchas veces. Para los usuarios de Firefox, RequestPolicy es otra extensión util que detiene recursos de terceros que se ejecutan por defecto desde una página. Y de nuevo, ya que estos recursos son bastante comunes, la navegación estará bastante obstaculizada. Finalmente, para los ultra paranoicos, HTTP Nowhere deshabilita completamente el tráfico HTTP, haciendo que tu navegacion se realice exclusivamente de forma encriptada, navegando exclusivamente las paginas que ofrecen conexiones HTTPS.
Conclusión
El sistema de la NSA para diseminar malware no es particuluarmente novedoso, pero aprender algo sobre cómo funciona ayudará a usuarios y fabricantes de navegadores a defenderse mejor de este tipo de ataques, haciendonos mas seguros frente a los criminales, agencias de inteligencia y multitud de atacantes. Por ellos pensamos que es vital que la NSA aclare sus capacidades e indique cuales son los agujeros de seguridad mas comunes, nuestra seguridad online depende de ello.
No hay comentarios:
Publicar un comentario