El Dr. Ogalinski no se hace responsable del uso que se le de a la información obtenida de este sitio, sea bueno o malo. Lo que sea que hagas con esta información y lo que suceda del uso de ella, es tu entera responsabilidad. U_U
Hace un par de meses se dió a conocer una vulnerabilidad en impresoras HP que permitía que a través de un documento malicioso se podía modificar el firmware de las impresoras de modo que se le plantara malware. Inicialmente se reportó que el fallo permitía que las impresoras se incendiaran, pero no fue más que un malentendido. Sin embargo, al pensar en la cantidad de impresoras que produce HP, pues tenemos un problema de seguridad potencialmente nefasto. Lo que ves arriba es la presentación que se dió durante el Chaos Communications Congress 2011, titulada “Print me if you dare” (“Imprímeme si te atreves” ), donde Ang Cui explica como descubrió la vulnerabilidad. Algunas partes pudieran ser técnicas para algunos (aparte de que está en inglés), pero es por demás extremadamente interesante. Les recomiendo que lo vean, pues es un excelente ejemplo de lo que se puede hacer con ingeniería inversa. Los demos que muestra son muy interesantes además de perturbadores: una impresora comprometida que duplica los trabajos de impresión enviándolos a una portátil, y en otro usar una impresora comprometida para escanear una red buscando PC’s vulnerables para infectarla y convertirla en un proxy y salir a través del firewall.
Regresando al problema, ¿qué se puede hacer con esta vulnerabilidad? imagina que con imprimir un documento, te puedas hacer del control de una red; como tu punto de ataque es una impresora, seguramente pasas por alto el firewall y otras herramientas que podrían detectarte; en pocas palabras, es un ataque letal. Cui le dió a HP un mes para que arreglaran el problema antes que lo diera a conocer, y HP ya tiene firmware que no permite este problema de seguridad. Sin embargo, actualizar el firmware de la impresora es, de acuerdo con mi experiencia, lo último en la cadena de necesidades de muchos usuarios. El mismo Cui le pide a todos los que tengan una impresora HP que actualicen sus firmwares, de modo que no vayan a padecer este problema. Vale la pena mencionar que sólo ha probado con impresoras HP, aunque cree que muchas otras padecen del mismo mal. Como dije, bastante impresionante el descubrimiento de Cui, así como perturbador.
En estos días surgió un nuevo malware para Mac OS X que básicamente usa la GPU de la computadora para generar Bitcoins, una moneda virtual de la que ya he hablado antes. Este malware se denomina OSX/Miner-D o DevilRobber, y es técnicamente malware, troyano, backdoor y sniffer, todo en uno: una vez que está instalado, abre puertos en la computadora infectada y roba información personal, y de paso usa tu GPU (el procesador de la tarjeta gráfica) para minería de Bitcoin, y para colmo de males te robará cualquier Bitcoin que tengas. Un síntoma de esta infección es que la computadora irá mucho más lento; a estas alturas varios vendedores de antivirus para Mac OS X ya parcharon la vulnerabilidad.
Dos reflexiones: en primera instancia, no quiero parecer troll, pero aquellos que creen que por usar una Mac no verán malware jamás, están equivocados; se pueden infectar tan bien como cualquier otro sistema. Les concedo que puede ser poco más difícil, pero para nada imposible. Segunda reflexión: aléjense de Bitcoin tanto como puedan; a la fecha, si ha demostrado algo, es que es inseguro, y cada vez está atrayendo más ataques.
En fin, ojalá que los usuarios de Mac dejen de pensar que están protegidos por un círculo mágico o algo por el estilo. No se trata de ser alarmistas, es sólo que el malware es una realidad en casi cualquier plataforma, y como he dicho antes, ahora que las Mac están subiendo en popularidad sólo verán más y más ataques de malware, y no está de más estar protegido.
La negación es fuerte en Apple, pero a fin de cuentas no les quedó de otra que salir al paso del problema de Mac Defender; a través de una página de soporte en línea en la que explican como identificar y deshacerse del programa, y también prometieron una actualización de su software para eliminar las variantes de Mac Defender. Si leyeron el artículo anterior publicado en este blog sobre el caso Mac Defender, recordarán que Apple había girado un memo interno en el que instruía a su gente de soporte ni aceptar el problema de Mac Defender ni hacer nada al respecto, actitud que no fue muy bien recibida en la red. Este nuevo cambio de actitud en Apple llega justo a tiempo, pues apenas a 12 horas del anuncio de Apple salió otra variante de Mac Defender llamada MacGuard, que a diferencia de la primera versión es mucho más peligrosa pues no requiere del password de administrador para instalarse; incluso se dice que MacGuard parece estar diseñado para las instrucciones de Apple antes mencionadas.
Pero si este es en realidad el inicio de (como muchos creemos) una serie de ataques contra la plataforma de Apple, entonces tendrán que luchar contra la “programación” mental de muchos de sus usuarios, que por muchos años han escuchado que sus computadoras personales son inmunes a todo. Tengo noticias para ustedes, y lo digo sin alegría malsana: no lo son. Ni Windows. Ni Mac OS X. Ni Linux. Ninguna plataforma es invulnerable, ninguna es 100% segura. Nunca lo han sido, y de acuerdo con la opinión de algunos iniciados, jamás lo serán. Así que lo mejor es aprender a estar preparados y educarse sobre como no infectarse con tonterías, y a como navegar seguramente por esa versión moderna del Viejo Oeste llamada Internet.
Para finalizar, parafraseando la película de El Cuervo (esta cita en particular),
Unas 58 aplicaciones fueron eliminadas del Mercado de Android después Google descubriera que contenían un malware llamado DroidDream, el cual básicamente le hacía un root (es decir obtenía control administrativo total sobre el teléfono) y lo usaba para robar datos de los dispositivos. Google estima que unos 260,000 usuarios resultaron infectados, a los cuales Google les mandó un correo indicándoles que de acuerdo con sus registros cada uno de ellos había bajado una aplicación infectada, y que saldría un parche para la aplicación Android Market que eliminaría este problema. Debido a este problema, Google dice que pondrá en práctica varias medidas para prevenir este problema y que están trabajando con sus distintos partners para solucionar situaciones similares.
DreamDroid más a fondo
Hasta ahora el verdadero propósito de DreamDroid no está claro del todo, y los que han podido analizarlo concluyeron que el malware juntaba cierta información del dispositivo solamente, como ID de producto, partner, IMSI, IMEI, modelo y otros más, así como detalles del Mercado de Android como calificaciones, comentarios, estados de instalación y otros. Sin embargo, otros como el sitio Read Write Web afirman que la verdadera intención de DroidDream era crear una botnet móvil, es decir, pequeños zombies Android. Por ahora, no lo sabemos con certeza, pero no parece nada descabellado pensar en una botnet de móviles, dada la cantidad de handsets que hay en el mercado.
Las acciones correctivas de Google
Google ya dijo que tomará medidas para prevenir esto; sin embargo, de acuerdo con gente que sabe de los planes de Google dicen que no habrá una mediación al estilo de Apple; es decir, Google no revisará a fondo las aplicaciones antes de meterlas en su mercado. Esto quiere decir que muy probablemente Google se meta cuando ya hayan problemas, y no precisamente para prevenirlos, es decir, el clásico “bomberazo.”
Oops, eso no tardó mucho: hay un troyano al parecer bastante avanzado para atacar al sistema operativoAndroid; este troyano se llama Geinimi, y según reportes es el malware más sofisticado para Android hasta ahora, con las habilidades de robar tus datos personales y enviarlos a una computadora remota, e incluso recibir instrucciones de un servidor remoto. Lo que puede hacer Geinimi no es nada agradable: puede enviar tu ubicación, identificadores de dispositivo (IMEI e IMSI), y listas de aplicaciones instaladas, así como descargar aplicaciones y pedirle al usuario que las instale. Aunque el Geinimi como tal no ha llevado a cabo acciones maliciosas aún, se sospecha que por su forma de operar está sirviendo para formar una red de bots (botnet), una armada de dispositivos que pueden ser controlados remotamente para llevar a cabo operaciones a gran escala, y nunca para buenos propósitos.
Ahora bien, no te alteres ni te arranques el cabello, no es para alarmarse…si sigues una regla básica: el troyano Geinimi no entra así nada más porque sí, tienes que instalar una aplicación infectada que es la que crea todo el problema: aquí está el meollo del asunto, porque esas aplicaciones sólo se encuentran en tiendas o sitios de aplicaciones de terceros; en pocas palabras, instala tus aplicaciones sólo del mercado oficial de Android y nada más.
Pero si bien en realidad no es una gran amenaza, si lo es el hecho de que por ahora los smartphones parecen ser bastante vulnerables, y si los juntamos con la estupidez de muchos de sus usuarios, tenemos los ingredientes para crear un cóctel potencialmente peligroso, o jugoso, dependiendo del lado que lo veamos. Por favor, hagan uso de su sentido común, y sean algo paranoicos. Funciona, en serio.
En Internet hay pocas certezas, pero una de ellas es que si quieres contraer algún malware, entonces haz una búsqueda relacionada con “Cameron Díaz“. Resulta que la señorita Díaz desplazó a Jessica Biel (la ganadora del dudoso honor del año pasado, ahora el tercer lugar) como la celebridad más peligrosa en Internet. Otros que están en la lista y que deberías evitar a menos que tengas una muy buena razón para hacer búsquedas sobre ellos son Julia Roberts (#2), Giselle Bündchen (#4) y Adriana Lima (#5). La lista es recopilada por McAfee cada año, e incluye una lista de las 10 celebridades cuyas búsquedas retornan resultados peligrosos, que pueden significar contraer una infección de spyware, adware, spam, phishing, virus y casi cualquier otro malware que se te pueda ocurrir; en particular, las búsquedas de “screen saver”, “photos” o “wallpaper” relacionadas con Cameron Díaz, son las peores. No está de más que le des un vistazo al resto de la lista para que veas que otras celebridades te pueden causar problemas.
Una de las formas preferidas de los autores de malware para atrapar a sus víctimas es a través del llamado “envenenamiento SEO“, que básicamente consiste en jugar con los mecanismos de búsqueda mediante palabras clave. Es por ello que hacer búsquedas por “xp antivirus” o algo similar puede resultar en que uno de los primeros resultados de la búsqueda sea una página de descarga de XP AntiVirus, un conocido malware con muchas variantes. Pero no son los únicos términos peligrosos: de acuerdo con la empresa de seguridad McAffee, los términos de búsqueda más peligrosos en la actualidad son “bearshare” y “screensaver“, puesto que los resultados de búsqueda para “bearshare” son en un 46% enlaces a sitios con malware, y “screensaver” no se queda muy lejos, con un 42%. En lo personal jamás hago búsquedas relacionadas con ninguno de los dos términos (menos “screensaver” ), pero tengo muchos conocidos que sí lo hacen y que aprenden de fea manera que no deberían hacerlo. Evita en la medida de lo posible hacer estas búsquedas, porque sólo te meterán en problemas, y ya de paso no estaría de más que le digas a tus amigos y familia.
Soy maestro en una escuela, y sé que cuando inserto una unidad USB en un equipo, es casi seguro que mi memoria quedará infectada con algún malware. Desgraciadamente un mecanismo de infección muy explotado es la autoejecución (o autorun en términos Windows); afortunadamente Panda USB Vaccine nos ayuda a prevenir que esto pase. Panda USB Vaccine deshabilita la reproducción automática (autorun) en tu equipo y también protege tus unidades USB de modo que dejes de llevar malware a todos lados. Usar la herramienta es sencillo: una vez que la descargues y la instales, al ejecutarla haz clic en el botón “Vaccinate computer“, lo cual deshabilitará la reproducción automática en tu PC; después de eso, cuando insertes una unidad USB haz clic en el botón “Vaccinate USB“, lo cual creará un archivo autorun protegido y escondido en tu USB lo que hará que sea más difícil que se infecten tus unidades. No es a prueba de balas, pero es otra línea de defensa.
Loading ...
Comentarios recientes