lunes, diciembre 23, 2013

Creepware: Fiarse del LED de la webcam es una mala idea

Son muchas las ocasiones en las que he manifestado por aquí que tapar la webcam es una buena idea para evitar problemas con grabaciones no deseadas. Hace ya unos años os hablé de esto por primera vez porque había ya varios foros en los que se compartían fotos de gente que había sido grabada con su webcam aprovechando las funciones que ofertan los R.A.T.s (Remote Administration Tools). Ahora, a los troyanos más especializados para este tipo de ciberespionaje se le empieza a conocer como Creepware.

Figura 1: RAT con posibilidad de grabar con la webcam

Son muchos los vídeos de botnets que hay publicados en YouTube en los que se ve a la gente grabada en sus hogares, por supuesto sin saber que están siendo grabados por nadie, como el que os dejé publicado en este artículo.

Figura 2: Botnet con gente siendo grabada sin su consentimiento

Cuando yo digo que hay que tapara la webcam algunos se echan las manos a la cabeza y piensan "eres un exagerado", pero lo cierto es que la cantidad de formas que han aparecido para activar la webcam y grabar a la gente es muy alta. El mismo Virus de la Policía utilizaba ese truco para convencer a los usuarios de que debían pagar. Realmente no era más que un truco de ingeniería social en las que el malware no enviaba los datos a ningún sitio, pero era más que suficiente para asustar a los infectados de que debían pagar.

Casos más significativos son los de expertos en seguridad que son grabados sin darse cuenta, como el ciber-espía ruso acusado desde la ex-república de Georgia de estar espiando en sus redes de datos y que fue grabado por su webcam utilizando el mismo exploit que él mismo utilizó para colarse.

Figura 3: Ciberespía ruso grabado con su Webcam

Los exploits existen, y los payloads para grabar con la webcam son un estándar ya. De hecho, los hay hasta con técnicas de ClickJacking como los que hemos visto con Adobe Flash Player y Google Chrome que permitían activar la webcam desde una página web.

Fiarse de que nunca vas a ser infectado y por tanto nunca te van a poder grabar es algo que no pasa por mi cabeza, ni mucho menos. Son muchos los casos de gente que ha sido grabada sin saberlo, como el de los vecinos del pedófilo que se colaba en sus redes WiFi, infectaba sus equipos y les grababa en su casa. Algo que pasó en la ciudad de Zaragoza, no hay que irse muy lejos.

Figura 4: Pedófilo espiaba a sus vecinos vía webcam

Pensar que no te vas a infectar es un error, pero si además toca tu equipo más gente aparte de ti, puede que incluso sea ese técnico de confianza tu mayor enemigo. No hace demasiado saltó la noticia de que un técnico de Mac se dedicaba a infectar los equipos de sus clientes y grabarles por la webcam.

Nunca sabes quién puede estar al otro lado de la webcam que te está apuntando, de hecho, yo le digo a la gente que no se fie de quién está detrás de la webcam, ni aunque lo vea por la webcam, ya que existen programas que sustituyen la imagen de la webcam por un vídeo pre-grabado que utilizan para ganarse la confianza de sus víctimas.

Figura 5: ManyCams permite poner vídeos en lugar de la webcam

Mi equipo tiene luz que me avisa de que se ha encendido la webcam

Sí, esa es una de las afirmaciones más comunes para no tapar la webcam. Sin embargo, yo no me acabo de fiar ni aún así. En primer lugar los LEDs de emergencia se pueden romper y no darte cuenta, pero aún suponiendo que no sea así, es posible que no siempre estés mirando al LED.

Figura 6: WebCam iSight en equipos Apple

En el caso del técnico de Mac que espiaba a sus clientes, en todos los casos se hablaba de sistemas con iSight de Apple, una cámara que tiene LED de alerta, pero la gente o no se daba cuenta, o pensaba que era cualquier tipo de malfuncionamiento y a quién iban a llamar era... justo a su técnico de Mac.

En los manuales de fortificación para Mac OS X que publica la agencia de espías norte-americana NSA también se habla de este tema, y en ellos se deja claro que lo que hay que hacer es deshabilitar la webcam de iSight y el micrófono también.

Figura 7: La NSA recomienda deshabilitar iSight por motivos de seguridad

Otro caso para el recuerdo es en el que el que acabó siendo espiado por la webcam no fue el dueño del equipo sino el posedor del su MacBook tras haber sido robado - es una de las historias del hall of shame de ladrones en modo #EPICFAIL -. En ese caso el R.A.T. en cuestión que se usó para grabar con la webcam fue Prey, un software de control remoto de equipos que instalan los dueños para poder localizarlo en caso de perdida. Como se puede ver en la foto, el tipo estaba durmiendo y por tanto no podía ver el LED de seguridad.

Figura 8: Este tipo tiene mi MacBook

En el mundo Apple, hay muchos expertos de seguridad que usan Mac, y baste la foto de Moxie Marlinskpike y su MacBook que publicó en Twitter, donde se puede ver como tiene la webcam tapada con una pegatina.

Figura 9: Equipo de MacBook de Moxie con la webcam tapada

¿Por qué? Pues porque al final, fiarse de que no se pueda desactivar esa luz por software es mucho fiarse. En el caso de Mac se ha publicado recientemente un paper titulado: iSeeYou: Disabling the MacBook WebCam Indicator LED en el que dos investigadores demuestran cómo es posible deshabilitar ese LED en equipos MacBook Pro e iMac anteriores al año 2008.

Figura 10: MacBook con la webcam encendida y el LED apagado

Esto es así, porque hasta ese momento los equipos MacBook tenían integrada una webcam iSight que se conectaba vía USB, y mediante una reprogramación del firmware para evitar el apagado cuando el equipo entra en suspensión y el envío de señales de StandBy por el canal USB, era posible hacer creer al LED de que el equipo estaba en suspensión para que se apagara, pero mientras la webcam continuaba funcionando.

¿Te puedes fiar de que en los sistemas de hoy en día no pueda hacerse?

Pues eso es mucho fiarse. Hace poco el Washington Post contaba la historia de cómo el FBI utilizaba troyanos para localizar a un terrorista llamado Mo, y cómo se había conseguido utilizar la webcam de la víctima sin activar el LED de aviso de uso de la misma.

Figura 11: Artículo del Washington Post en el que se habla del Creepware del FBI

Con esta misma idea, en Errata Security hacían una demo de cómo deshabilitar el LED en un equipo DELL con poner a cero el valor de la función TurnOnOffLED() en los drivers de la webcam, y se acabó para siempre el LED de alerta, o lo que es peor, queda al antojo del creepware deshabilitarlo cuando quiera.

Figura 12: Vídeo de Errata Security en el que se enciende la webcam de un DELL y se anula el LED

Yo personalmente he recibido mensajes de gente que ha sido víctima de este tipo de creepware y sufren extorsiones económicas a cambio de no publicar el material grabado. Uno de estos correos os lo dejo aquí.

Figura 13: Víctima de Creepware que contactó conmigo el 6 de Diciembre de este año

Después de todo esto, supongo que ya entenderéis por qué siempre le recomiendo a mis amigos y familiares que tengan la webcam tapada y por qué regalamos un iPatch en el lanzamiento de Latch. Tú haz lo que quieras, pero aquí te dejo el mensaje que te alerta de que tal vez el Creepware pueda apagar tu LED de alerta.

Saludos Malignos!

5 comentarios:

Anónimo dijo...

Ya tengo mi iPatch en la webcam... regalito de ISDTef :D
Excelente artículo Chema, como siempre...

Alejandro Cañizares dijo...

Interesante, gracias por la publicación.

Ender dijo...

Hola, Chema: el último mensaje que recoges en tu excelente artículo me recuerda un caso que he tenido hace poco, y que es más una cuestión de ingeniería social que otra cosa. El chantajista (con un gancho en forma de chica voluptuosa) acecha en Chatroulette, y espera a que alguien lleve la videoconferencia por el lado erótico-festivo. Después del tomate, el chantajista, a través de su gancho, propone al incauto hacerse amigos en Facebook. Es entonces, con su lista de contactos en la mano, cuando llega el chantaje.

MMR dijo...

Hola Chema

Los nuevo 3030 AIO de Dell, por ejemplo, ya llevan una pestaña de plástico, para tapar la webcam.

Eduardo Rey dijo...

Tengo un portátil con Windows 8.1, lo he dejado un par de veces en reposo, y al volver lo encuentro con la webcam encendida. Supongo que no es normal. También encontré un mensaje del visor de eventos: "Un programa obtuvo acceso a su ubicacion recientemente". ¿Cómo se puede evitar esto?

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares