Inseguridad informática 2011, y algunos vistazos al 2012

(Por Rubén Borlenghi, el Microsaurio) Ataques dirigidos,  el gusano Duqu, malware para móviles,  Certificados Digitales fraudulentos, fallas de seguridad, deficiente capacitación… Tiempo de repasar, y de prepararnos. Con la ayuda de algunos investigadores de empresas muy conocidas, repasamos sustos y vamos juntando fuerzas para enfrentar las molestias nuestras de cada día. Las de este año que pasó y lo que, con mucha probabilidad, se viene el año que viene.

Primero, los recuerdos. ¿con qué nos asustaron este año?
Entre los resúmenes que consulté me fue muy útil el de Symantec que les acerco acá:

• Ataques dirigidos (las famosas APT, Advanced Persistent Threats). Según la empresa se produjeron ataques informáticos a instalaciones donde se emplea software de control industrial. Pueden refrescar el tema de las APT en esta nota anterior.
• Apareció el gusano Duqu. Junto con las APT, o formando parte de ellas, fijate lo que subraya Symantec: “…la finalidad de Duqu era reunir datos y activos de inteligencia de organizaciones, como fabricantes de componentes, que se encuentran comúnmente en entornos de control industrial (…) los atacantes detrás de Duqu buscaban información (…) que pudiera ayudarlos a organizar un ataque futuro a una planta de control industrial…” Un espía automatizado, nada menos.
• Software dañino no tan cuidadosamente diseñado, pero igualmente destinado al robo de información en las empresas, que aprovecha fallas de seguridad de los sistemas o la deficiente capacitación del personal en cuanto a normas de seguridad en el uso del email.
• Malware diseñado para atacar dispositivos móviles. Symantec señala varios tipos de ataque, desde generar facturación de llamadas en favor del atacante, hasta el robo de información corporativa
• Ataques a Autoridades Certificantes, y la generación de Certificados Digitales fraudulentos. Les transcribo otra frase: “…estos ataques dejan entrever la necesidad de que las organizaciones refuercen sus infraestructuras de seguridad…”. Si repasamos el tipo de ataque que algunas entidades certificantes sufrieron, las fallas de seguridad de los servidores de estas empresas son tan notorios que se merecen, como ha sido el caso, que alguna quedara tan desacreditada que dejara de funcionar.

Hasta acá el brevísimo repaso de lo sufrido durante 2011. Si querés ver el material original de Symantec, me comentaron que está aquí.

Año nuevo, malware nuevo (a veces)
Para ver qué nos deparará el futuro, revisé el contenido del informe Tendencias 2012 preparado por ESET, y observé que el acento está en un aumento de los ataques a los móviles.

Para fundamentar el pronóstico recuerdan el ataque a unos 250.000 equipos empleando una aplicación que se descargaba desde el Android Market, e incluso hay un apartado que se pregunta “Android: ¿el nuevo XP?” señalando “… a pesar de las distancias existentes entre el mundo del móvil y el de los equipos de escritorio, en cuanto a cantidad de dispositivos y a la cantidad de amenazas, hoy en día los creadores de aplicaciones maliciosas están encontrando en Android muchas de las características que años atrás encontraron en Windows XP, no solo por las características propias de la plataforma, sino también por los usos y costumbres de la masa de usuarios…”
Pero no sólo los usuarios de equipos móviles sufrirán las molestias (o algo peor…) que les preparan los diseñadores de malware. ESET espera que en el 2012 aparecerá más código malicioso que podrá parasitar un equipo desde antes de que arranque el sistema operativo, atacando la BIOS, como probable evolución de la acción observada en un ejemplar identificado en 2011 que llamaron Mebromi.
A eso se sumará (dicen) más código malicioso firmado digitalmente con certificados robados (para que no sean rechazados al instalarse…)
Además de los ataques que emplean software de diseño complejo y cuidadoso, también nos seguirán molestando los falsos antivirus, de los cuales ESET espera que se encontrarán variantes en español y preparados en Latinoamérica, y otro tipo de software simple pero efectivo (por desgracia) como el que se usa para el phishing bancario.
También esperan que aparezca más malware dedicado a atacar instalaciones donde se emplea software de control, sistemas del tipo SCADA. Eso nos lleva a recordar (y temer) más ataques del tipo que recuerda el incidente que hizo famoso a Stuxnet, o a lo que se dijo de Duqu.
Pero en cuanto a Duqu, quisiera acercarles un comentario que me hizo llegar Sebastián Bortnik, Coordinador de Awareness and Research de ESET Latinoamérica: “En las últimas semanas se ha estado hablando de un código malicioso denominado Duqu, difundido en muchos medios como “el precursor del próximo Stuxnet” o en muchos casos “el hijo de Stuxnet”. Desde ESET, más allá de detectar la amenaza (todos nuestros usuarios están protegidos contra estas variantes), creemos que muchos de los análisis realizados hasta el momento sobre la amenaza poseen mucha especulación, que no se corresponde con nuestra opinión sobre cómo compartir información con los usuarios. Aunque hay elementos para pensar que existen desarrolladores y técnicas en común entre Duqu y Stuxnet (el uso de certificados digitales firmados y algunas porciones de código), la mayoría de las conjeturas realizadas hasta el momento están basadas en el análisis del binario y no en el impacto real que está teniendo en los sistemas en todo el mundo. Por el momento, Duqu no es un problema de mayor importancia para los usuarios y empresas en general (es un código malicioso, por lo que de todas formas hay que estar protegidos); y podemos afirmar que no posee la multiplicidad de características complejas que conocimos en las variantes de Stuxnet: Duqu no afecta directamente a industrias, ni posee instrucciones para sistemas SCADA. Aunque a futuro no se descarte por sus similitudes que pudiera evolucionar a variantes más complejas, esta es una realidad para muchos otros códigos maliciosos y por el momento consideramos prudente no alertar por demás a los usuarios y la comunidad en general”.

Me parece que los queridos admin que siguen esta columna, y los sufridos usuarios que también la transitan, ya tienen bastantes herramientas para ir armándose un panorama. A no desanimarse; no se olviden que, como dice el Buanzo, la seguridad es un estado mental.

Imagen de Rawsterne