Sin software de seguridad, los usuarios se transforman en presa fácil.

(Por Rubén Borlenghi) En el marco de la Conferencia InfoSecurity de la semana pasada, visitó por segunda vez estas pampas sureñas Ryan Naraine, sobre quien ya hemos publicado una breve biografía y algún que otro informe. Esta vez no vino a visitar conocidos (aunque habló bastante sobre ellos, vean más abajo); la intención del <respirar> Evangelista Tecnológico para las Américas del Equipo de Analistas e Investigación Global de Kaspersky Lab </respirar> fue presentar las opiniones del Equipo Mencionado sobre “Ataques dirigidos y Cybercryme drop zones”, en el segundo día de Infosecurity.

Los dos temas han sido tratados extensamente en Tecnozona durante los pasados meses (en algún caso, años…) pero vale la pena repasar los conceptos de la presentación de Naraine:

• Los ataques dirigidos se hacen con un email enviado a un destinatario cuidadosamente seleccionado. La selección se hace generalmente mediante ingeniería social.
• Se suele conocer qué antivirus usa la víctima, así que se prepara código que lo pueda neutralizar.
• El ciberdelito tiene motivación monetaria. En el caso de los ataques dirigidos, se busca causar daño a una empresa en especial, robándole secretos industriales o paralizando su producción. En el caso de los ataques masivos, si la víctima tiene dinero, se lo roban; si no es posible robar contraseñas o transacciones bancarias, se usará la máquina como integrante de una botnet para enviar sp*m, hacer ataques de denegación de servicio o subalquilar potencia de cálculo. (Mi comentario personal: así es, amigo; un delincuente podría estar cobrándole a otro por usar esa PC que usted deja encendida toda la noche y conectada a la Internet)
• Estos delincuentes ofrecen software cuidadosamente diseñado, con interfaces de simple manejo, y por quinientos dólares entregan un sistema de comando completamente funcional; por cinco mil dólares se consigue un pack personalizado y con pluguins (caso del malware Zeus-Zbot, aparecido en 2006)
• El software de Comando y Control permite elegir las PC-víctimas… hasta por ubicación geográfica. Ejemplo: “…hoy voy a mandar sp*m desde la computadoras de Buenos Aires…”
• En Kaspersky llaman drop zone a “un servidor configurado para recibir y guardar datos robados”. Suelen acumular un promedio de 31.000 archivos en cerca de 14 GB. Allí se guarda el botín del ladrón: imágenes (capturas de pantalla o tomas desde la camarita de la PC-víctima), archivos *.txt con información personal y financiera robada (números de tarjeta de crédito, de cuenta bancaria local o de transferencia internacional de dinero), Certificados Digitales encriptados (tipo *.pfx) también robados, además de material de uso del servidor. Para tener en cuenta: los delincuentes al poseer estos datos pueden interceptar una transacción financiera en el momento y cambiar la cuenta bancaria receptora por la que ellos deseen. Que quede claro, no lo dije yo.

Hasta ahí la presentación que los concurrentes a la conferencia pudieron presenciar. Pero les traigo unos bonus track.

Argentina y el futuro

La opinión de Naraine sobre los especialistas argentinos en seguridad informática: “pueden competir con los mejores del mundo” Y citó, a manera de ejemplo, tres empresas donde hay argentinos: Immunity, Core Security y Argeniss
Para los despistados de siempre, uno de los integrantes de Immunity es Nico Waisman (gerente regional para Aquí Abajo, si no recuerdo mal). Si tienen que desayunarse, este es el sitio oficial de la empresa norteamericana. Recomiendo frecuentar el blog de Waisman o leer esta nota sobre Ekoparty 2009. Core Security… es proveedora del Comando Central de las fuerzas armadas norteamericanas, de Credit Suisse y de MasterCard, entre otros. Su Chief Technology Officer es el argentino Iván Arce. Y en cuanto a Argeniss, la empresa del rosarino César Cerrudo, en Tecnozona ya leíste sobre él. Escuché alguna vez una frase que lo define todo: “si es Oracle, lo abrimos”.

Lo que se viene:

• El futuro blanco de los ataques de ciberdelincuentes: los cajeros automáticos, los certificados digitales, y como siempre, la víctima fácil, el usuario común que no mantiene su máquina actualizada/emparchada, y que tiene hábitos de uso inseguros.
• El tema del sandbox que algunos navegadores ofrecen, ya que hay quienes están investigando cómo salir de esa zona de ejecución segura y restringida para atacar el sistema operativo.
• Los ejecutables firmados, y las whitelists, como una opción importante para aumentar la seguridad.
• Recordar que el ataque de Stuxnet, ese dirigido específicamente a atacar el software de Siemens empleado por determinadas empresas, fue descubierto, analizado y publicado por una empresa de antivirus (Y varias de esas empresas modificaron rápidamente su software para detectarlo y eliminarlo, agrego yo)

Era lógico que quien es parte de una empresa productora de software de seguridad mencionara el dato. Pero sin software de seguridad instalado, los usuarios comunes (hogareños o corporativos) se transforman en presa fácil.
Tienen bastante para reflexionar los amigos admin que lean esto. Y esperemos que parte del material les sirva en una reunión de alto nivel, para defender temas como presupuesto y concientización.