1

Las amenazas que usted no puede ver

Por muy diligente que sea usted en el mantenimiento de su PC, todavía será vulnerable a los ataques del día cero. He aquí lo que debe saber sobre estos peligros y los agujeros de seguridad que ellos aprovechan.

Usted no descuida su seguridad. Mantiene al día sus programas y tiene un programa antivirus instalado. Toma la precaución de ver por dónde navega y lo que instala en su computadora.

Pero el pasado mes de septiembre, si hubiera visitado una bitácora hospedada por HostGator, un proveedor importante de servicios de hospedaje basado en la Florida, su navegador habría sido reexpedido inmediatamente a un sitio de la Web infectado que aprovechaba una vulnerabilidad existente en un viejo formato de imágenes de Microsoft.

En cuestión de segundos, un grupo de programas maliciosos habría invadido su computadora.

De haber sucedido esto, usted sería una víctima más de un ataque del día cero, que es perpetrado contra un defecto en el software cuando todavía no ha sido publicado un parche para enmendarlo. Originalmente, el término describía una vulnerabilidad que era explotada ‘en estado silvestre’ (es decir, fuera de un laboratorio de investigación) el mismo día que el parche estuviera disponible, lo que dejaba al personal del departamento de informática cero días para cerrar el agujero.

Hoy, el valor que los ataques del día cero tienen para los cibercriminales está ascendiendo rápidamente porque pueden forzar la entrada en sistemas bien mantenidos y actualizados. Por ejemplo, en diciembre pasado, Raimund Genes, funcionario principal de tecnología de Trend Micro, se fijó en un cintillo de propaganda que aparecía en una sala de charlas de Internet: se trataba de un pirata que quería vender una vulnerabilidad no revelada en una versión beta de Windows Vista por la impresionante suma de US$50.000, aunque Genes no pudo determinar si alguien había comprado el código.

“Ahora existe un trasfondo mucho más organizado”, dice Dave Marcus, gerente de investigación de seguridad en McAfee. “Estos [criminales] se han dado cuenta de que pueden ganar dinero con sus programas maliciosos”.

Programas maliciosos por dinero

El programa malicioso puede ser un 'robot,' por ejemplo, capaz de forzar a su PC a que participe en el envío de correo indeseado o en ataques de negación de servicio contra sitios de la Web. “Es mucho más fácil que golpear a una anciana en la cabeza para robarle el bolso”, Marcus dice. “Es muy anónimo y un criminal podría hacer todo esto desde la seguridad y comodidad de una cafetería Starbucks”.

Gracias a ciertas funciones como un análisis mejor que no depende de las firmas, el antivirus de McAfee y otros programas de seguridad son ahora más ágiles a la hora de protegerle contra amenazas desconocidas. Y una gran variedad de programas nuevos, tanto gratuitos como comerciales, ofrece la protección previsoria contra los ataques del día cero limitando el poder destructivo de un ataque exitoso.

Con una instalación correcta de seguridad usted puede protegerse el 99 por ciento de las veces, dice Jeff Moss, quien fundara la conferencia de seguridad anual BlackHat. Pero los ataques específicos a veces pueden penetrar su sistema de todas formas. “Usted puede ir y comprar muchos cortafuegos, programas y equipos”, asegura, “pero si existe el día cero correcto en el componente correcto, es casi como si toda esa protección adicional no sirviera de nada”.

Las variedades más peligrosas de este tipo de ataques permiten la transferencia furtiva, donde con sólo mirar una página envenenada o leer un correo electrónico HTML infectado se puede provocar una invasión capaz de llenar su PC de programas espías, caballos de Troya, u cualquier otro software malicioso. Entre finales de 2005 y los últimos meses de 2006, los cibercriminales usaron por lo menos dos de estos ataques del día cero para atacar millones de usuarios aprovechándose de agujeros en ciertos tipos de imágenes de Microsoft que rara vez se usan.

En el caso de la debacle de HostGator relacionada con el defecto en las imágenes de Windows, el ataque aprovechó una vulnerabilidad en la manera en que Internet Explorer maneja el Vector Markup Language (VML), una norma infrecuentemente usada para crear gráficos de 3D.

La amenaza fue reportada por primera vez en septiembre por Sunbelt Software, una compañía de seguridad, que la encontró en un sitio pornográfico ruso de la Web. Por sí solo, el agujero ya era suficientemente peligroso. Si usted navegaba por un sitio que tenía una imagen envenenada, podría verse afectado por una transferencia furtiva . Pero los atacantes oportunistas reconocieron como magnificar el daño.

Al dirigir sus miras a un segundo agujero desconocido en cPanel, una interfaz de administración de sitios Web, los malhechores secuestraron miles de sitios mantenidos por HostGator. Los visitantes de estos sitios Web legítimos pero alterados fueron reexpedidos entonces a sitios maliciosos que contenían el ataque de VML.

Los productos de Microsoft como Internet Explorer, Office y el propio sistema operativo Windows son blancos comunes de los ataques del día cero (y otros), en parte porque son tan dominantes en el mundo del software. Pero los descuidos de Microsoft en el pasado al no integrar adecuadamente la seguridad en el desarrollo de sus productos han contribuido a que sean blancos tan populares (y tan fáciles). Por otra parte, la seguridad de Vista está recibiendo el visto bueno de muchos, al menos al principio; vea “Defensa contra el día cero en el nuevo sistema operativo de Microsoft” en este mismo artículo.

Solamente en 2006, cuatro ataques diferentes del día cero fueron dirigidos contra Internet Explorer 6, directa o indirectamente. El año comenzó con ataques continuos que se aprovecharon de un defecto descubierto en diciembre de 2005, en el formato de imágenes Windows Metafile; el agujero se encontraba en una parte subyacente de Windows usada por IE para representar una imagen en WMF.

Una vez que los ataques llegaron al conocimiento público, Microsoft dijo primero que incluiría un parche semanas después como parte de su ciclo normal de correcciones parciales, pero a medida que aumentaron los ataques y las protestas del público, la compañía publicó una corrección fuera del ciclo a principios de enero.

Sin embargo, el parche no terminó con los ataques, lo cual demuestra que las amenazas del día cero pueden tener efectos a largo plazo. Como el defecto de VML, la debilidad de Metafile abrió las puertas a la transferencia furtiva de material nocivo, que los criminales adoran porque las víctimas no tienen que pulsar sobre la imagen envenenada para infectarse. Si usted instaló el parche de Microsoft mediante las actualizaciones automáticas, no correría peligro. Pero, claro está, muchos usuarios de Windows no lo hicieron.

En julio, una tira publicitaria maliciosa de Deckoutyourdeck.com se introdujo en sitios como MySpace y Webshots por medio de una red de distribución de anuncios que sirve a millares de sitios. El programa malicioso escondido en la tira bajó un caballo de Troya a las PC de las víctimas, que a su vez instalaron programas publicitarios y espías. Los observadores estimaron en millones el número de víctimas, siete meses después de la publicación de un parche.

Ataques dirigidos a Office

A diferencia de las amenazas más peligrosas de cero días diseñadas para el IE, las que están dirigidas contra Word y otras aplicaciones de Office no pueden emplear la transferencia furtiva . Por lo general, éstas necesitan que una víctima haga doble clic sobre un archivo adjunto al correo electrónico, y cuando se combinan con ataques orquestados contra compañías particulares, hasta los usuarios más cautos pueden pulsar accidentalmente.

Enviando a los empleados de la firma atacada un mensaje ficticio de correo electrónico que parece venir de un compañero de trabajo o de otra fuente dentro de la compañía, un pirata tiene más probabilidad de convencer al destinatario a que abra un documento adjunto de Word que si el mensaje pareciera venir de un remitente casual.

A mediados de diciembre, Microsoft confirmó que Word tenía dos de estas vulnerabilidades que las cookies aprovechaban para iniciar “ataques muy limitados y enfocados”, tras la manipulación de una cadena de defectos similares en Excel y PowerPoint. La compañía ahora advierte a los usuarios que tengan cautela no solamente con el material anexo al correo electrónico en mensajes de remitentes desconocidos, sino también que desconfíen de los anexos no solicitados de remitentes conocidos.

Los productos de Microsoft pueden ser los blancos más populares para los ataques del día cero, pero otros programas comunes se han convertido en métodos de ataque igualmente peligrosos. En enero, un investigador anunció que había descubierto un defecto en manipulación de vídeo de QuickTime que permitiría a un atacante controlar la computadora de la víctima. A finales de noviembre de 2006, una vulnerabilidad de cero días en el control ActiveX de Adobe para el navegador introdujo un riesgo similar.

El alza en las incidencias de ataques del día cero refleja un aumento importante en el número anual de vulnerabilidades de software reportadas. En 2006 los investigadores y fabricantes de software catalogaron unas 7.247 debilidades; 39 por ciento más que en 2005, según Internet Security Systems Xforce.

Sin embargo, la mayoría de estos errores no conduce a ataques del día cero. Las compañías de software frecuentemente reciben informes de errores y bloqueos de sus usuarios, lo cual conduce al descubrimiento de un agujero de seguridad, que la compañía entonces corrige antes de que los atacantes puedan aprovecharlo. Cuando los investigadores de seguridad externos descubren un defecto, ellos (al menos en su mayoría) se adhieren a una serie de prácticas, conocidas como “la divulgación ética”, diseñada específicamente para evitar los ataques del día cero.

Bajo los parámetros de divulgación ética, los investigadores primero se comunican confidencialmente con el vendedor de software para informar de sus hallazgos. La compañía no anuncia el problema hasta que no tenga listo un parche, en cuyo momento acredita públicamente a los investigadores originales con el descubrimiento del defecto.

Pero a veces los investigadores, frustrados con la lentitud de las investigaciones del productor del software, hacen públicos los detalles de la vulnerabilidad cuando todavía no está resuelta. Algunos expertos consideran que esta táctica es un mal necesario para forzar a las compañías recalcitrantes a producir una corrección; otros lo condenan como un alejamiento poco ético de las prácticas de la industria.

La gente que aboga por la divulgación pública argumenta que si un investigador sabe del defecto, los criminales probablemente también lo conocen, y los criminales inteligentes mantendrán sus ataques pequeños y enfocados para no llamar la atención del fabricante. Desafortunadamente, con demasiada frecuencia las divulgaciones públicas de una vulnerabilidad desenfrenan los ataques del día cero.

Otra práctica cuestionable es la de los cazadores de recompensas. Algunas organizaciones, entre ellas iDefense y 3Com Zero Day Initiative, pagan a los investigadores por informar sobre los ataques del día cero. iDefense, por ejemplo, ofrece una recompensa de US$8.000 por la información de vulnerabilidades en IE7 y Vista. Las compañías de seguridad entonces comunican sus descubrimientos confidencialmente a las compañías de software. Aunque no se les admira universalmente, estos programas ponen efectivo en los bolsillos de los investigadores, un resultado que muchos prefieren a la simple palmada en la espalda que reciben de los productores de software.

Quizás lo más importante es que las recompensas de las compañías de seguridad compiten con el creciente mercado negro por las vulnerabilidades de cero días. El vendedor de la vulnerabilidad de Vista que Genes de Trend Micro observó en una sala de charla puede haber encontrado o no un comprador al precio de US$50.000, pero los informes de eweek.com y compañías de seguridad dicen que los ataques de WMF comenzaron inmediatamente después de la venta de los detalles pertinentes del error por la bonita suma de US$4.000.

Para encontrar los defectos, los investigadores y criminales usan herramientas automatizadas llamadas “fuzzers” para encontrar lugares donde un programa acepta datos y entonces les envían sistemáticamente combinaciones extrañas de datos. Frecuentemente, estas pruebas encuentran un defecto conocido como desbordamiento de búfer.

Las compañías de software, incluso Microsoft, utilizan generalmente las herramientas para encontrar defectos en sus propios productos. Pero los malhechores hacen lo mismo: Moss, organizador de BlackHat, y muchos otros expertos dicen que los criminales organizados de Europa del Este, los grupos disciplinados de hackers chinos y otros delincuentes usan los “fuzzers” para encontrar deficiencias valiosas para ataque del día cero. Los descubridores pueden usar el error para atacar por su cuenta o, como en el caso de WMF, pueden venderlo en el mercado negro.

Cuando una compañía puede reparar un defecto de seguridad antes de que ocurran los ataques, el personal de informática de la compañía y los usuarios en el hogar tienen tiempo para actualizar su software y mantenerse a salvo. Pero tan pronto comienza un ataque del día cero, el reloj comienza la cuenta regresiva. Y a veces funciona durante bastante tiempo antes de que aparezca el parche necesario.

En la mitad primera de 2006, según el informe de seguridad de amenazas de Internet generado por Symantec para el mes de septiembre de 2006, Microsoft empató con Red Hat Linux en el desarrollo más rápido de parches para los sistemas operativos comerciales: un tiempo promedio de 13 días.

Demoras en los parches para el navegador

Pero en la actualización de los navegadores –especialmente cuando se estaba produciendo un ataque del día cero– Microsoft quedó detrás de Apple, Mozilla y Opera en la producción de parches. Como promedio, las correcciones parciales del IE aparecieron 10 días después de descubrir el defecto, mientras que los navegadores de Opera, Mozilla y Safari fueron reparados, como promedio, en 2, 3 y 5 días, respectivamente (para una cronología de los ataques del día cero de VML y del ciclo de correcciones parciales, vea el recuadro “En marcha un ataque del día cero”).

Adan Shostack, un gerente de programas para el equipo de desarrollo de seguridad de Microsoft, dice que a veces un período de tiempo más largo es de esperar dada la complejidad de la base de usuarios de Microsoft.

“Tenemos que probar las actualizaciones de seguridad para estar seguros de que trabajarán en 28 idiomas diferentes y en cada SO que reconoce la aplicación”, dice Shostack. “Realmente nos esforzamos por mantener un equilibrio entre la calidad y la velocidad”.

El software de seguridad le ayuda a protegerse de las amenazas desconocidas durante el intervalo peligroso que separa al ataque inicial de un parche eficaz, pero los programas antivirus tradicionales necesitan la firma identificada de un ataque para protegerle contra él. Esto enfrenta a los escritores de programas maliciosos con las compañías de seguridad en un juego constante del ratón y el gato, donde los piratas producen un flujo constante de caballos de Troya y otros programas maliciosos que han modificado lo suficiente como para eludir el reconocimiento de firmas.

El análisis heurístico y de comportamiento puede ir más allá de este modelo evolutivo para dar la ventaja a los programas de seguridad. Estas exploraciones usan algoritmos, en vez de firmas, para buscar archivos o comportamientos anormales. El análisis heurístico revisa el contenido de los programas potencialmente maliciosos para detectar cosas tales como un método sospechoso de trabajo con la memoria. Mientras tanto, el análisis de comportamiento inspecciona los programas para detectar la conducta típica de los programas maliciosos –como comenzar un servidor intermedio de correo electrónico– tratando de identificar los intrusos por lo que hacen en vez de fijarse en lo que contienen.

Hoy, la mayoría de los programas antivirus incorpora uno o ambos tipos de análisis. El año pasado, las pruebas realizadas por PC World usando firmas que tenían un mes de creadas produjeron tasas de detección del 20 al 50 por ciento.

Pero el análisis de heurística y de comportamiento es susceptible a los falsos positivos. Un programa de seguridad puede no ser capaz de distinguir entre un rastreador de golpes de teclas y un juego que pide acceso directo al teclado para acortar el tiempo de respuesta. Como resultado, el software de seguridad puede importunarle constantemente con alertas y preguntas.

Según estima Jeff Moss, de BlackHat, este tipo de detección no será realmente útil por sí misma durante otros cinco de años. “La tasa de falsos positivos y falsos negativos es demasiado alta. Todo el mundo está ideando maneras novedosas de detectar un uso sospechoso; pero tan pronto tratan de implementarlas, los usuarios se quejan”.

Otros enfoques

Los miembros de otra clase de productos de seguridad tratan de resistir las nuevas amenazas cambiando el entorno de computación del usuario para limitar el daño de una invasión exitosa. Algunos (como GreenBorder Pro) crean un “cajón de arena”, o un entorno blindado virtualmente, para los programas que son blancos frecuentes, como los clientes de correo electrónico y los navegadores de la Web. Un ataque podría penetrar las defensas del IE, por ejemplo, pero cualquier intento de instalar programas espías o de hacer otros cambios maliciosos escaparía del cajón de arena.

Otros programas, en lugar de crear un entorno virtual, modifican los derechos del usuario para limitar la capacidad de un programa de hacer cambios significativos en el sistema. Esta categoría de programa incluye la aplicación gratuita DropMyRights de Microsoft.

Y otros tipos de programa, como el VMWare Player gratuito, instalan un sistema operativo encapsulado que incluye su propio navegador. El navegador es completamente separado de su entorno de computación regular que usted emplea. Para más información sobre todos estos tipos de programas de seguridad diseñados para mitigar daños, vea la columna de Erik Larkin “Desarme las amenazas de la red” (find.pcworld.com/56458).

El nuevo sistema operativo Windows Vista de Microsoft presenta actualizaciones de seguridad que siguen estas mismas tendencias (vea “Defensa contra el día cero en el nuevo sistema operativo de Microsoft”). Pero nadie cree que las vulnerabilidades del software ni los ataques del día cero vayan a desaparecer. El mercado negro establecido para datos robados y los que envían el correo indeseado sin saberlo garantizan que los criminales continuarán encontrando maneras de enriquecerse con los programas maliciosos.

No obstante, Perry se mantiene optimista acerca de la seguridad en Internet. “Creo que con el tiempo tendremos una Web donde las amenazas sean una simple molestia”, dice. “Pero no será para este año”.

-Ryan Singel

En marcha un ataque del día cero

Sunbelt Software descubrió ataques en septiembre pasado contra una vulnerabilidad en los gráficos que utilizan el formato Vector Markup Language, que rara vez se utiliza pero que todavía es reconocido por Windows. En menos de una semana, los criminales habían infectado miles de sitios con imágenes envenenadas capaces de infligir un ataque de transferencia furtiva a cualquier usuario desafortunado que mirara la imagen.

18 de septiembre de 2006: Los primeros ataques de imágenes VML son reportados en un sitio ruso.

19 de septiembre de 2006: Microsoft publica un aviso con una solución provisional y dice que el parche estará disponible el 10 de octubre.

20 de septiembre de 2006: Symantec informa que el código malicioso ha sido incluido en un kit fácil de usar que está a la venta en Europa del Este.

22 de septiembre de 2006: El equipo Zeroday Emergency Response Team publica un parche no oficial. Miles de sitios de HostGator legítimos pero modificados redirigen a sus visitantes a sitios que portan el código de ataque VML.

26 de septiembre de 2006: Microsoft publica una corrección dos semanas antes de lo anunciado.

16 de enero de 2007: iDefense confirma que un ataque similar del día cero aprovecha otro agujero crítico de VML.

Ataque dirigido a los documentos

21 de mayo de 2006: Son lanzados ataques dirigidos desde Taiwan y China que aprovechan un error en Microsoft Word (uno de los muchos defectos de cero días en Office reportados en el 2006), para atacar una compañía no identificada. Según el Internet Storm Center, los ataques imitan un correo electrónico interno de la compañía, lo que aumenta las probabilidades de que un empleado incauto abra un anexo contaminado.

Defensa contra el día cero en el nuevo sistema operativo de Microsoft

¿Cuánta protección contra un ataque del día cero ofrecerán las nuevas características de seguridad anunciadas para Vista? Más de lo que usted se imagina.

La característica clave pudiera ser el Control de acceso del usuario, que cambia los permisos de cuentas de usuarios en Vista. Por cuestiones de conveniencia, casi todos los usuarios de Windows XP en el hogar lo usan con los privilegios de administrador ya que éstos privilegios son necesarios para las tareas más comunes del sistema. Pero los atacantes pueden aprovechar esos derechos otorgados para hacer modificaciones importantes en el sistema, como instalar programas maliciosos que esconden rootkits.

Por el contrario, la cuenta de usuario predeterminada de Vista se encuentra a medio camino entre la cuenta totalmente abierta del administrador y un pase de invitado donde es imposible hacer cambios. Microsoft ha tratado de hacer el cambio más tolerable autorizando a los poseedores de cuentas normales a realizar algunas tareas rutinarias del sistema como la instalación de controladores de impresoras, pero los usuarios que desean más control ya se están quejando porque tienen que hacer clic muchas veces en el Control de cuentas de usuarios que necesitan una contraseña de administrador.

Además, el Internet Explorer funciona de forma predeterminada en un modo protegido con la menor cantidad de permisos posible. Esta adaptación limita el daño que un ataque del día cero capaz de secuestrar a IE (como el defecto de WMF o VML) puede causar en su PC.

Finalmente, Vista vendrá con Windows Defender, que puede bloquear los intentos de los programas maliciosos de agregar elementos en la carpeta de inicio (por ejemplo, disfrazado como un programa básico de contraespionaje). El sistema operativo también entremezcla las ubicaciones donde las bibliotecas y los programas se cargan en memoria, de manera que los programas maliciosos que traten de encontrar y cambiar los procesos más importantes del sistema tendrán que tratar de acertar en blancos en movimiento.

MySpace invadido

28 de diciembre de 2005: En este precursor al ataque similar del VML, un defecto existente en el tipo de imagen WMF de Microsoft, que es poco utilizado, permite la transferencia furtiva de material cuando el usuario mira una página que contiene una imagen contaminada. Microsoft publica un parche el 5 de enero, pero en julio una tira publicitaria maliciosa infecta a millones de PC que visitan MySpace, Webshots y otros sitios sin haber aplicado aún la corrección.

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *