domingo, noviembre 23, 2014

Detekt: ¿Hay alguien espiándome en mi ordenador?

Ya hace mucho tiempo que salieron a la luz pública casos de espionaje de gobiernos a ciudadanos por medio de software especialmente creado para espionaje gubernamental. Ahora Amnistía Internacional, Electronic Frontier Foundation y otras organizaciones pro-derechos civiles ha lanzado Detekt, una herramienta creada por Claudio Guarnieri para ayudar a encontrar software de espionaje utilizado en equipos de personales.

Figura 1: ¿Hay alguien espiándome en mi ordenador?

Dentro del desarrollo de soluciones R.A.T. (Remote Administration Tools) existen algunas que son más del mundo underground hechas por hacktivistas para sus acciones de reivindicación, otras que son generadas por grupos de cibercrimen que pueden ir desde soluciones amateurs hasta bots profesionales que se comercialización, algunas hechas a medida para operaciones A.P.T. contra objetivos concretos - famosos son los ataques contra los grupos pro-Tibet y el Dalai Lama - y otras que se hacen para comercializar en gobiernos y cuerpos de seguridad del estado.

El software de espionaje comercial

Este último, el software de espionaje gubernamental es un sector en el que se posicionan algunas empresas para cubrir las necesidades que en algunos países tienen los gobiernos que han legalizado este tipo de técnicas, como por ejemplo en Holanda y Alemania donde los cuerpos de seguridad del estado puede utilizar estos programas baja la supervisión judicial. Por supuesto, como denunció Reporteros sin Fronteras, también acaban siendo utilizados por gobiernos totalitarios que persiguen a disidentes sin ningún control. De las empresas que hacen este tipo de software hay algunas que se han hecho muy populares por incidentes y filtraciones recientes.


Figura 2: Funcionamiento de FinFisher/FinSpy Mobile

El primero que saltó a los medios de comunicación masiva fue el caso de FinFisher y su software de monitorización móvil FinSpy que desarrolla la empresa Gamma International. Este software fue descubierto en las revueltas de la primavera árabe en Egipto, y desde entonces ha estado en el centro de la noticia. En un análisis posterior de la herramienta se descubrieron paneles de control en 25 países por todo el mundo, lo que dejaba al descubierto más o menos qué organizaciones y/o países estaban utilizando dichos programas.

Figura 3: Ubicaciones en las que se encontraron paneles de FinFisher

Por supuesto, en el mundo de la seguridad se le sigue la pista a FinFisher & FinSpy desde hace tiempo, ya que el truco de Masque utilizando provisioning profiles - no suplantando apps, pero si metiendo fake apps - para infectar terminales iPhone con software de espionaje ya lo usaban ellos hace tiempo, y en los equipos Windows llegaron a utilizar a Mozilla Firefox para colarse dentro de los sistemas.

Figura 4: Panel de análisis de Hacking Team RCS 9

Otro de los software comerciales posicionados como R.A.T.s gubernamentales es el famoso RCS de Hacking Team, que recientemente ha sufrido una filtración de su documentación permitiendo saber exactamente cómo funciona este software. Entre los trucos que usan este último están los ataques de fake AP en redes WiFi para infectar equipo o el último de hacer Jailbreak a los terminales iPhone desde un equipo Windows pareado para poder infectarlo con el bot de RCS.

Por supuesto estos no son los únicos programas espías que se venden, ni las únicas empresas que los desarrollan. Ya vimos hace tiempo cuando Anonymous hackeó la empresa HBGary como ellos desarrollaban herramientas como 12 Monkeys o Task.B para troyanizar equipos infectados.

¿Qué hace Detekt?

Detekt es un software desarrollado en Python para buscar los rastros de FinFisher/FinSpy & Hacking Team RCS dentro del equipo, además de algún otra R.A.T. popular como DarkComet, Por supuesto, después de toda la información que se ha hecho pública de ambas familias se conoce mucho de ellos ya que de FinFisher se filtró el código completo y de HackingTeam RCS toda la documentación, así que si se lanza en un equipo infectado, entonces es posible que sepa si hay alguno de ellos actualmente instalados en el equipo.

Figura 5: Funcionamiento de Detetk. Te recomienda hacerlo offline

La pregunta que mucha gente se hace es si es fiable o no. La respuesta es que no es 100% fiable, por supuesto. En primer lugar los creadores de los RATs que busca este software están acostumbrados a lidiar con software antimalware desde hace mucho tiempo, y está claro que harán los deberes para primero hacerse indetectables y segundo atacar e inutilizar este software en los equipos en los que se vaya a utilizar. 

No hay que olvidar que este software de espionaje tiene conexión directa con el panel de control y puede mutar a gusto, cambiar los binarios, modificarse en caliente, etcétera. Nada sencillo para detectarlo en un equipo vivo. De hecho, mi solución contra este tipo de casos es la que os propuse en en un artículo que decía que una buena política antimalware y antiAPTs debe mirar en el pasado, analizando instantáneas pasadas de los sistemas informáticos de una organización.

Figura 6: Propuesta de análisis de copias de seguridad para detectar bots mutados

Sea como fuere, esto es un juego del gato y el ratón, así que si tienes un equipo del que sospechas pueda haber sido infectado con FinFisher/FinSpy o Hacking Team RCS mejor que pases un antimalware actualizado y pruebes Detekt antes que no hacer nada, pero lo suyo sería que le hicieras un buen análisis forense a ver qué sale de ahí, y que antes de llegar a ese punto tengas fortificado al máximo tu Windows. A día de hoy Detekt sólo funciona en Windows en versiones anteriores a Windows 8.1.

Saludos Malignos!

7 comentarios:

Anónimo dijo...

Y algo para funcionat en linux????

Anónimo dijo...

Yo sospecho mucho de unos compañeros de piso en donde ultilizamos la misma wifi al tal punto que pueden ver mis archivos y mis conversaciones en whatsapp cuando estoy conectado a la red .... Ademas ya hay tiempo me aparece un simbolo de un punto en la barra de notificaciones en la parte superior en el lado izquierdo. Esto de espiar no viene d ahora sino q viene desde el año pasado ....me espian tambien mis conversaciones ,y las paginas q miro y lo q descargo me di de cuenta por q me lo dicen indirectente y porque los escucho hablar de ello. Me podeis ayudar de como evitarlo. He llegado a tal punto de cambiar de móvil pero nosé como hacen que con este lo hacen también.

Anónimo dijo...

Pantallazo azul cortesía de detekt...

Anónimo dijo...

Para el que piensa que esta siendo espiado.

Puedes intentar evitarlo de muchas formas, reinstalando el windows para quitar troyanos o pasándote a linux, instalando programas para detectar mitm como marmita, o conectándote desde el internet del móvil, pero no creo que sea la solución al problema.

Lo mejor es que hables con ellos seriamente y lo soluciones. Si ya desde el año pasado te llevan haciendo eso hasta tal punto de cambiar de móvil, deberías pensar también en cambiar de piso, pues no creo que intentar evitar que te espíe sea la solución. Si decides irte, yo reinstalaría el windows y restablecería los datos de fabrica del móvil, para quitar posibles troyanos.

Este post es de otro tema, así que no te ayudará.

Espero haberte ayudado un poco en la decisión. Un saludo (no soy Chema }XD )

Anónimo dijo...

no hay forma de que si compartes una red Wifi protejas tu actividades, la unica manera es de que tengas tu propio wifi y con contraseña segura, estan usando un ataque de man in the middle. es tan sencillo que un celular lo puede hacer si tiene acceso a tu wifi.

Anónimo dijo...

¿Partirles la cara? Y amenazarles con romperles las rodillas como se les ocurra volver a hacerlo?
Chico, a veces el miedo más primario a que te revienten la cabeza a ostias o las articulaciones con un bate de baseball un encapuchado cualquier noche por ahí es lo más eficaz que hay.
A mi sobrina su jefe no le pagaba, le amenazó con denunciarle, ni caso, el tío se reía en su cara y la contraamenzaba con que la despediría. Así que al final fue su novio con un par de amigos y le saltaron un par de dientes al jefe. Mano de santo, oiga. Desde entonces el jefe hasta le daba días libres. Luego cambió de trabajo porque obviamente la situación no era del todo agradable, pero durante los meses que siguió en esa empresa, todo fueron buenas formas, respeto y amabilidad por parte del jefe.
Es un asco, pero hay mucha gente funciona así, que hasta que no sienten un par de buenas ostias, no empatizan con los que están sufriendo sus abusos. :-/

Anónimo dijo...

Esto en realidad sirve ? que otro software parecido conoces ?

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares