Evil Signature Injection: Borrado remoto de bases de datos, buzones de correos y ficheros de log con Evil Signatures y tu EDR

Después del incidente con Crowdstrike, uno de los EDR más famosos del mundo, los ojos de los investigadores de seguridad se han puesto en ellos. Tener en el sistema objetivo de un ataque un software que se ejecuta con tantos privilegios se ha convertido en oportunidad de usarlo como herramienta del atacante en lugar de temerlo como una herramienta defensiva.

Figura 1: Evil Signature Injection: Borrado remoto de bases de datos,

buzones de correos y ficheros de log con Evil Signatures y tu EDR

Ayer sábado, tranquilo por la tarde, comencé a repasar las charlas de BlackHat y DefCON, y me topé con el trabajo de EDR Reloaded: Erase Data Remotely de los investigadores Tomer Bar y Shmuel Cohen. Desde el principio me encantó la idea por lo simple y hacker que es, y sobre todo, porque es algo que hacíamos nosotros hace muchos años.

Back in 2012 with Eicar

En el año 2012, durante un tiempo, estuve jugando mucho con los Terminal Services y la Apps en Citrix. Escribí muchos posts sobre ellos, y acabé dando una charla junto al gran Juan Garrido en DefCON sobre Terminal Hackpplications llamada "Bosses love Excel, hackers Too", donde llevábamos, además de muchos de estos trucos que quedaron en el blog, una idea del gran Silverhack de meter la shell en EXCEL y desde una sesión de Terminal Services o Citrix controlar la máquina. 

Figura 2: Bosses love Excel, hackers too

Entre los trucos, estaba el de forzar que cantara el antivirus del servidor incluyendo la firma de EICAR para testar si estaba siendo investigada por un Antimalware (aún no se utilizaba el concepto de EDR), y cuál era en concreto. Lo dejé en el artículo: "Eicar para hacer jailbreak en Terminal Services o Citrix".

Figura 3: Symantec EndPoint Protection vigila este Citrix
y nos da el botón de ayuda para entrar en el sistema.

La gracia era qué, si saltaba la consola del antivirus, o una alerta, podríamos llamar a la ayuda, sacar un explorador de ficheros y abrir el sistema completo. Es decir, hacer Jailbreak a una sesión de Terminal Services o Citrix mediante un firma de una muestra de malware "ficticia", como era EICAR.

Erase Data Remotely with Evil Signatures

Ese concepto de "Firma Maliciosa" o "Evil Signature" es lo que han utilizado los investigadores para hacer que se borren ficheros, aprovechándose de Windows Defender en los sistemas Microsoft, y de otros EDR en sistemas GNU/Linux, generando una Evil Signature que ingresan en el sistema de diferentes maneras, ya sea incluyéndola en un fichero binario, en un doc, en una llamada HTTP, en una consulta SQL, o en un alta de un usuario de una plataforma SaaS.

Figura 4: Búsqueda de Evil Signatures para Windows Defender

La idea es tan sencilla como, buscar las firmas que usa Windows Defender, y probar para tener tener el mínimo de caracteres necesarios para que el EDR de Microsoft lo detecte como si fuera un malware de severidad HIGH, para lograr que la acción que se lance sea la más drástica, es decir, eliminar el fichero. 

Figura 5: Windows Defender tiene diferentes acciones por severidad

El resto es conseguir que el fichero ese sea el que quiere borrar el atacante. Así que, a partir de ese momento, es objetivo es ver cómo meter la firma más pequeña en el sitio adecuado para saber qué fichero quieres que borre el EDR que está protegiendo esta máquina.

Figura 6: Introduciendo la Evil Signature en un HTTP Post

En el ejemplo anterior, la Evil Signature se introduce simplemente en un parámetro por POST desde una llamada HTTP, para conseguir que Windows Defender elimine los logs del servidor de Web de la máquina.

Figura 7: Logs del servidor Web eliminados por Windows Defender

Lo mismo se puede hacer con una sesión Windows FTP, en este caso inyectando la Evil Signature como si fuera el nombre del usuario, pero al inscribirse este username en el fichero de log, salta el EDR y se carga el archivo completamente porque es severidad High.

Figura 8: La Evil Signature en el username de un Windows FTP

Esto, en determinados sistemas puede ser más crítico. En este caso, se carga el mailbox de un Mozilla  ThunderBird, que no le hará ninguna gracia al usuario que, sin hacer ninguna acción se acaba de quedar sin ninguno de sus correos almacenados.

Figura 9: Borrado del buzón de Mozilla ThunderBird

Y por supuesto, el propio log de la máquina Windows que viene de serie en todos los sistemas de Microsoft y que usan los SysAdmin para controlar lo que está pasando en su plataforma. De repente verán vacíos temporales.

Figura 10: Borrado de los logs de Windows

También, se puede lograr que Windows Defender elimine su propio log, lo que es una maravilla para borrar los rastros que un atacante deja en un sistema.

Figura 11: Eliminando los logs de Windows Defender

Además, se puede lograr que la víctima expanda el ataque, ya que si el fichero de log pasa al servidor de logs, se llevará la Evil Signature consigo, así que si tenemos un Splunk, éste acabará siendo afectado también.

Figura 12: Afectando la Evl Signature a Splunk

Pero lo peor de este ataque es que si lo consigues meter en el Datafile de una base de datos y que el EDR lo tome como un malware de severidad High, entonces podrías conseguir eliminar la base de datos de un objetivo, lo que no debe ser gracioso para nadie.

Figura 13: Borrando la base de datos de un MariaDB con Evil Signature

En este caso, los investigadores han sido capaces de que el EDR se cargue bases de datos de MariaDB ( MySQL), PostgreSQL, MomgoDB (adiós a tu BigData) y SQLLite, lo que podría dejar sin funcionar la gran mayoría de servicios y aplicaciones que corren sobre ellos.

Figura 14: Bases de datos afectadas por Evil Signature Injection

Y por supuesto, también se pueden hacer los ataques desde servidor a cliente. En este caso sería un Client-Side Attack que se puede hacer por culpa de visitar un servidor vulnerado, o por un ataque a través de él.

Figura 15: El Web Server envía la Evil Signature al cliente

Y el cliente ve cómo se le borran los ficheros del sistema a través del EDR que tenga configurado para "protegerlo" de los atacantes. Paradojas de la vida.

Figura 16: Windows Defender borra la historia de

Google Chrome y los Web Data

La gracia es que podría hacerse un CSRF, un XSS, un SSRF, o cualquier otro Client-Side Attack para que un atacante haga un Evil Signature Injection en tu equipo y tengas un problema de seguridad serio. Por suerte, los reportes han sido tomados en serio y - tras varias iteraciones - se han corregido, pero esta técnica hay que tenerla en cuenta porque cualquier software privilegiado que corra en tu máquina podría ser víctima de Evil Signature Injection y tener un problema serio en tu plataforma.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tu Latch "Navegación Segura". Codename: "Second Factor Web Browsing (2FWB)"

Hace unos años, con el equipo de Ideas Locas, creamos una solución para controlar la navegación de un ordenador personal mediante un canal paralelo. Tan sencillo como que una persona teclee una URL para navegar en su Google Chrome y antes de que esta se cargue, se intercepta por un plugin la dirección, se envía por BlueTooth a un terminal móvil pareado al navegador, y este verifica por la conexión móvil "Si ese sitio es seguro", o si el responsable del "Control Parental" lo autoriza.

Figura 1: Tu Latch "Navegación Segura".

Codename: "Second Factor Web Browsing (2FWB)"

De todo esto os hablé en el artículo de "Second Factor Web Browsing" donde implementamos la patente que habíamos solicitado en Febrero de 2019, donde describimos todo el proceso para poder luego contarlo públicamente en la RootedCON de 2020 bajo el título de "A hacker's gotta do what a daddy's gotta do". Ya sabéis que nos gusta traer siempre algo en lo que estamos trabajando a la RootedCON.

Figura 2: Presentación de 2FWB en RootedCON 2020

Después llegó la pandemia, nos reestructuramos en la compañía, y pusimos este proyecto de innovación en el "Backlog", pero sin llegar a dejarlo aparcado. Y seguimos dándole la vuelta, hasta que al final lo hemos lanzado ya en Tu Latch "Navegación Segura", de momento solo para la versión Android de Tu Latch, y para navegadores Google Chrome.

Figura 3: Tu Latch para Android en Google Paly con Navegación Segura

Tu Latch Navegación Segura es un servicio al que hay que suscribirse de manera anual, y permite estar conectado a una red WiFi pública de un aeropuerto, de un café, de un hotel, o cualquier red, y tener al servicio Navegación Segura protegiendo tu navegación en todo momento.

Configuración de Tu Latch Navegación Segura

Para poder utilizar Navegación Segura hay que contratar el servicio desde la propia app de Tu Latch, siguiendo el proceso que se detalla en las capturas.

Figura 4: Tu Latch para Android en Google Paly con Navegación Segura

Para proteger la navegación de tu equipo, es necesario que el terminal móvil y el navegador estén conectados por BlueTooth, por eso hay que descargarse el Plugin de Navegación Segura de Tu Latch para Google Chrome, tal y como explica el proceso, y después parearemos los dos equipos: El smartphone, conectado a la red móvil, y el equipo a proteger, conectado a la WiFi o al red que le da servicio a Internet.

Figura 5: Hay que instalar el Plugin de Navegación Segura de Tu Latch para Google Chrome

Este plugin está en la Chrome Web Store, y basta con descargarlo para poder conectarlo directamente a Tu Latch Navegación Segura y comenzar a estar protegiendo toda la navegación de este equipo. 

Figura 6: Plugin de Navegación Segura de Tu Latch para Google Chrome

Una vez instalado el plugin en Google Chrome, se puede hacer la activación del servicio desde el propio navegador, tal y como podéis ver en estas imágenes.

Figura 7: Plugin de Navegación Segura de Tu Latch para Google Chrome

El plugin se instalará en el navegador, y a partir de ese momento ya sólo se necesitará realizar el pareado del navegador por Bluetooth con la app de Tu Latch cuando se vaya a navegar desde cualquier red en la que se desee tener Navegación Segura.

Figura 8: Plugin de Navegación Segura de Tu Latch para Google Chrome

El Plugin de Navegación Segura de Tu Latch para Google Chrome hay que instalarlo la primera vez en el equipo, para que esté disponible en todas las sesiones del navegador Google Chrome. Una vez hecho, ya sólo se hará la activación del servicio.

Figura 9: Plugin de Navegación Segura de Tu Latch para Google Chrome

Ahora ya podemos parearlo con Tu Latch y tendremos el canal de seguridad por BlueTooth, conectado a Tu Latch en el smartphone, y éste conectado al servicio de Navegación Segura para proteger la navegación de Google Chrome en el ordenador.

Figura 10: Vinculación por BlueTooth desde el

Plugin de Navegación Segura de Tu Latch para Google Chrome

Para realizar el pareado, hay que hacer Tu Latch Navegación Segura visible en la app. Pasaremos de "No Visible" a "Visible" y cuando esté pareado, aparecerá como "Vinculado".

Figura 11: App de Tu Latch con Navegacón Segura

Y de igual forma, el Plugin de Navegación Segura de Tu Latch para Google Chrome aparecerá como "Vinculado", indicándonos que estamos ya siendo protegidos por el servicio de Navegación Segura.

Figura 12: El navegador de Google Chrome está protegido por "Navegación Segura"

usando un Canal de Second Factor Web Browsing (2FWB)

Este proceso se puede hacer desde cualquier navegador que se paree al terminal de Tu Latch con el servicio de Navegación Segura contratado, así que lo único que deberías realizar es el mismo proceso que te he descrito.

Figura 13: El navegador de Google Chrome está protegido por "Navegación Segura"

usando un Canal de Second Factor Web Browsing (2FWB)

Lo recomendable, como explicamos tanto en el plugin como en la app de Tu Latch, es que el terminal móvil y el equipo con el navegador a proteger, estén en diferentes redes, para mantener limpios los dos canales de verificación y que un enemigo en el medio no pueda bloquear la consulta al servicio de seguridad.

Figura 14: Dominio Bloqueado con Tu Latch Navegación Segura

A partir de ese momento, cuando un dominio se detecte como peligroso, el plugin de Tu Latch en Google Chrome bloqueará el sitio por Phishing, Fake Broker, Ciberestafa, Distribución de Malware, etcétera, y podremos ver que este sitio ha sido bloqueado por Tu Latch.

Figura 15: Dominio Bloqueado con Tu Latch Navegación Segura

Por el contrario, si el dominio no se ha detectado como malicioso, sabremos que ha sido verificado por el servicio de Tu Latch Navegación Segura, tal y como podemos ver en la imagen siguiente.

Figura 16: Dominio verificado y NO detectado

como Peligroso por Tu Latch Navegación Segura

Con el servicio de Tu Latch Navegación Segura puedes tener una capa extra de seguridad para navegar por redes en cafeterías, hoteles, aeropuertos, etcétera, de manera muy sencilla, y comprobando en todo momento que los dominios a los que te estás conectando son los correctos y no han sido manipulados. Ya os iré contando muchas más características sobre las novedades de Tu Latch. Y en breve estará en iPhone también. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

6ª Edición del Máster en Reversing, Análisis de Malware y Bug Hunting

Ya he hablado muchas veces de cómo se ha incrementado la demanda de expertos profesionales en Reverseing, Análisis de Malware y Bug Hunting, por asuntos en varias empresas, los problemas de los ataques de ransomware perpetrados contra varias empresas, gobiernos y organizaciones que han sufrido para recuperarse de ellos y volver a estar operativos y funcionales. 

Figura 1: 6ª Edición del Máster en Reversing, Análisis de Malware y Bug Hunting

 en el Campus Internacional de Seguridad

Y desde que vivimos una guerra en Europa como la que estamos sufriendo, vemos un incremento de malware de espionaje e inteligencia. Cuando suceden estos incidentes de seguridad, es lo que llamamos el "SWAT Team" a trabajar en conjunto con el CSIRT que trata todas las emergencias y que es el que tiene que tomar las riendas cuando las cosas se ponen peligrosas. En esos equipos, igual que en los equipos de ciberinteligencia, los equipos Red Team, y cualquiera de los que se encuentran profesionales que necesitan lidiar con lo desconocido se precisan perfiles muy especiales. 

Figura 2: Máster online en Reversing, Análisis de Malware y Bug Hunting

Especialistas que sean capaces de desarmar un malware, un dropper, un rootkit, un bootkit o sea el bicho que haya entrando en el perímetro, haciendo ingeniería inversa o reversing del mismo para saber qué hace, qué ha hecho y cómo se desactiva. Y si lo ha hecho por un fallo conocido, o explotando una vulnerabilidad nueva, por lo que ese analista tiene que ser también un experto en Bug Hunting.

Figura 3: Malware en Android. Discovering, Reversing & Forensics

Como os podéis imaginar, estos perfiles con alta profundidad técnica son muy demandados en el mundo de hoy en día, y para tener el nivel adecuado de entrar en los equipos de CSIRT, de Ciberinteligencia o Red Team para atacar a la compañía, hay que formarse mucho. Dentro de los Másters del Campus Internacional de Ciberseguridad  se ha preparado una convocatoria para el 5 de Octubre de este año de uno de estos Máster Online en Reversing, Análisis de Malware y Bug Hunting.

Figura 4: Programa del Máster de Reversing, Análisis de Malware y Bug Hunting

Como sabes, yo estoy de mentor de este Másters, y en él se encuentran profesionales de la talla de Sergio de los Santos, Miguel Ángel de Castro, Manuel Urueña, Juan José Salvador, Gonzalo Álvarez Marañón, José Ramón Palanco, Luis Alberto Segura Delgado, José Torres, Iván Portillo y un largo plantel de profesionales en cada equipo formativo que merece la pena que los veas.

 Figura 5: Plantel de profesores del programa de

Máster de Reversing, análisis de Malware y Bug Hunting

Si te gusta este mundo, donde te prometo que tendrás de todo menos aburrimiento y rutina, te puedes apuntar ahora a este Máster Online de Reversing, análisis de Malware y Bug Hunting, que el curso da comienzo el próximo 3 de Octubre de 2024.

Figura 6: Libro de Bug Bounty: De profesión "Cazarrecompensas"

escrito por Pablo García en 0xWord

También, todos los alumnos tienen libros de 0xWord (Malware en Andorid, Bug Bounty) acompañando el material de estudio de los Másters de Ciberseguridad y 2.000 Tempos para contactar con profesionales de este campo de ciberseguridad en la plataforma de MyPublicInbox, para que puedas pedir consejo o solucionar dudas. Recuerda, comienza el próximo 3 de Octubre, pero hay que matricularse cuanto antes.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso) - Consigue 100 Tempos en MyPublicInbox

Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición actualizada con nuevos contenidos

Hoy estamos de celebración, porque hemos sacado un nuevo libro de 0xWord, que cada día cuesta más mantener viva esta pequeña editorial, pero cada nuevo título es motivo de felicidad. En este caso es una nueva, la 6ª Edición, de "Máxima Seguridad en Windows: Secretos Técnicos"del gran Sergio de los Santos, del que se han vendido más de 5.000 ejemplares. Junto a "Hacking Web3: Challenge Accepted!", "Amazon Web Services (AWS): Hardening de Infraestructuras Cloud Computing", y uno más que nos queda por publicar la semana que viene, serán novedades en la RootedCON de este año.

Figura 1: Libro "Máxima Seguridad en Windows: Secretos Técnicos.

6ª Edición actualizada con nuevos contenidos" de Sergio de los Santos en 0xWord.

Con la nueva actualización Sergio de los Santos ha querido meterle una revisión profunda desde la que realizó en el año 2020 y hacer una edición muy especial con motivo de alcanzar los 5.000 ejemplares vendidos de este título, que es un "superventas" de nuestra pequeña editorial 0xWord.

Figura 2: "Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición"

de Sergio de los Santos en 0xWord.

En el caso de "Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición" actualizada con nuevos contenidos, el índice ha cambiado bastante, ya que si bien las secciones han cambiado poco, los detalles han ido cambiando radicalmente en este texto actualizado a día de hoy. Aquí lo tienes.

Figura 3: Índice del libro "Máxima Seguridad en Windows: Secretos Técnicos.

6ª Edición actualizada con nuevos contenidos" de Sergio de los Santos en 0xWord.

Además, si quieres consultar cualquier pregunta sobre el libro de Máxima Seguridad en Windows al autor, Sergio de los Santos, lo puedes hacer a través de su buzón público en MyPublicInbox, con lo que la lectura y el aprendizaje será mucho más efectivo. 

Figura 4: Contactar con Sergio de los Santos

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 5: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 6: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 7: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 8: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 9: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Entrevista a Sergio de los Santos el hacker del "Malware Moderno" que explica el porqué de la evolución de la industria de seguridad informática

Hace muchos años que llevo discutiendo, trabajando, colaborando, argumentando, peleando, co-creando, con Sergio de los Santos. Con tantos años de profesión a la espalda juntos, hemos labrado una relación de confianza, respeto y amistad muy particular. A veces lo quiero matar, otras muchas me deja boquiabierto todo lo que hace. Eso sí, la parte de querer matarle aún es muy alta. Pero con cariño.

Figura 1: Entrevista a Sergio de los Santos el hacker del

"Malware Moderno" que explica el porqué de la evolución

de la industria de seguridad informática.

.

Sergio de los Santos tiene ese ADN de innovar que tanto me gusta en los equipos de Ideas Locas - no es casualidad que le pusiera al mando del departamento de innovación de ElevenPaths en su momento. Pero además disfruta de un área de la investigación en concreto que a mí, lo confieso, no ha sido la que más me. ha interesado en mi vida: El malware.

Figura 2: "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

Supongo que llevar más de 20 años analizando malware, haciendo infinidad de cierres de sitios de phishing, persiguiendo a los grupos criminales por medio de sus API Keys, sus patrones de comportamiento, su forma de crear los esquemas de malware, etcétera. De sus investigaciones salió Tacyt para analizar malware, y algunos papers como el de Shuabang, con esquemas curiosos creados por el cibercrimen.

Figura 3: Contactar con Sergio de los Santos

Así que se animó a escribir el libro de "Malware moderno: Técnicas avanzadas y su influencia en la industria" , que ha sido uno de los libros más comprados desde que se puso a la venta. Y sobre este libro, he querido hacerle una pequeña entrevista, que merece la pena que leáis. Más que recomendada.

1. - Cuéntanos Sergio, ¿qué se puede esperar de este libro y qué tiene de particular.?

Desde hace muchos años quería escribir un libro sobre malware. El problema era que los libros sobre reversing y análisis son muchos, variados y, en algunos aspectos, insuperables. Los libros sobre la historia de malware son más escasos, pero creo que "Una al día: 16 años de seguridad informática" (y sus diferentes ediciones de 2008 a 2014), ya abordaba ese enfoque. ¿Qué podía aportar entonces? Llevaba dándole vueltas mucho tiempo. 

 

El tiempo pasaba y las mejoras en la industria se sucedían. Creo que desde 2013 el avance ha sido espectacular en muchos aspectos, sobre todo para los que sufrimos la seguridad informática entre finales de los noventa y primeros 2000. El caos estaba dejando paso al orden, aunque no lo parezca. ¿Por qué? ¿Qué había impulsado esa mejora? ¿Cómo de repente se vivía una colaboración en la industria tanto técnica como legislativamente? ¿Qué estaba ocurriendo para que “de repente” los buenos se pusieran las pilas?

Figura 4: Una al día - 16 años de seguridad informática
de Sergio de los Santos en  0xWord

Fue entonces cuando se me ocurrió que buena parte de ese impulso venían de que los malos habían disfrutado de una posición ganadora desde hacía demasiado tiempo. De que a medida que la sociedad se incorporaba a Internet, estábamos a punto de perder la batalla digital. Que el malware era el culpable y, en cierta forma, también el responsable de le mejora. 

 

Decidí no enfocar el libro como la historia del malware solamente, sino entendiendo cómo había impactado en la industria y por tanto, ayudado a mejorarla. Entonces descubrí por qué el sistema operativo es cómo es, por qué Windows hace lo que hace y lo hace de esa forma. Por qué las redes funcionan así, por qué existen estas medidas de seguridad para el usuario y por qué algunas son más populares que otras. Por qué los antivirus actuales no son lo mismo que hace 20 años… Un mundo que me resultó apasionante para comprender tanto la historia como la técnica, pero sin céntrame en estos dos aspectos solamente.

2.- La historia siempre te da perspectiva ¿Qué has descubierto indagando en la historia del malware?

Que cometemos la mayoría de las veces los mismos errores. Que “todo está inventado” pero se repite con ligeras diferencias. Que el que no conoce el pasado está condenado a repetirlo. Que vivimos en una industria algo cortoplacista. Que tenemos muchos prejuicios en torno a la tecnología porque aunque tenemos mala memoria en general para la historia, los eslóganes y el marketing se nos graban a fuego en la memoria. 

 

Figura 5: Marrón Cobalto, una novela de ficción  

de Sergio de los Santos.

 

Una vez asimilados, asociamos esos mantras para siempre a ciertos tecnologías, aunque cambien de manos, sean diferentes o hayan sido mejorados considerablemente. La historia del malware es la historia de los sistemas operativos. De internet y de la digitalización en general.

3.-¿Alguna anécdota interesante que te sorprendiese escribiendo el libro?

Una que creo que reúne todas las condiciones para desvelar falta de rigor en todos los campos es la de Bi.A. En 2006, Linus Torvalds, según los medios, “ordenó parchear el kernel para poder infectarse por un virus multiplataforma que ya atacaba a Windows”. ¿Un poco loco, no? Bi.A (abril de 2006) era una “prueba inofensiva” que se supone infectaba a binarios de Windows y Linux. El primero en analizar la muestra (y "rebajar el riesgo") fue NewsForge. Advirtieron que no se podía replicar (sin mucha más explicación). Esto ayudó a difundir la idea en los medios de que no era un virus real. Y no era mentira, no se replicaba… solo que hicieron las pruebas incompletas.

Probaron el virus solamente en Windows y luego en un Ubuntu con un kernel muy concreto. Efectivamente no se podía replicar ahí, no mintieron. Salvo por el hecho de que sí que se replicaba y funcionaba como un virus tradicional en todos los núcleos justo anteriores a esa versión. El caso es que el virus se creó en ensamblador, no en C (lo habitual). El autor asumió que al llamar a “sys_ftruncate”, el valor del registro EBX que se pasa como parámetro se mantendría. Por tanto, al llamar más tarde a “old_nmap” podría reutilizar EBX con ese mismo valor. Pero no. La llamada a “sys_ftruncate” destruía el valor de EBX en ese kernel concreto y el autor no se dio cuenta porque no usó ese kernel. Así que la replicación funcionaba bien en todos menos ese. Pero lo normal es que se respete el valor de EBX. No fue un descuido del autor. ¿A quién culpar? Pues al propio kernel. Tuvo que pasar algún tiempo hasta que alguien diera una explicación. Se concluía que el kernel bajo el que NewsForge hizo las pruebas no se comportaba como el resto. Destruir el valor de EBX tras una llamada a función no era un comportamiento deseado.

Linus Torvalds aceptó el fallo (sí, llamó “fallo” a lo que impedía la difusión del virus) y quiso corregirlo. Sys_ftruncate o cualquier otra función debía preservar el contenido del registro EBX. La única versión del kernel que no lo hacía era con la que habían probado el virus porque ese kernel fue la primera versión compilada con gcc y el parámetro mregparm=3 y esto causaba el fallo. Si el virus hubiera sido escrito en C directamente o sin ese parámetro, el compilador hubiera hecho bien su trabajo y la autorreplicación hubiese funcionado.

Figura 6: Índice de "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

¿Qué hicieron los medios de comunicación que no entendieron nada de esto? Titular con tonterías. Lo más acertado hubiera sido algo como: “La creación de un virus directamente en ensamblador permite detectar un fallo en la compilación del kernel Linux”. Pero en cambio hablaron de que el kernel se había modificado para facilitar la propagación de virus.

Esto da que pensar sobre la complejidad de trasladar a la realidad algo puramente técnico sin que se distorsione el mensaje, y por tanto, cuánto no entendemos de la ciberseguridad, tanto a nivel técnico como social. ¿Crees que el malware impacta ya no solo en los sistemas, sino en la sociedad?

Sin duda. La línea de división entre nuestra vida “física” y “digital” no existe. Lo que nos pasa en cualquier dispositivo impacta de manera directa en nuestra rutina. Un incidente con malware puede ser equivalente o peor que un incendio o un robo en nuestra casa. Y esto no es nada. Los ataques a suministros fundamentales no son ya una simple amenaza sino una realidad posible y probable. El malware no es más que la manifestación técnica de un arma y se usará para atacar. Y ahí fuera hay tanto ladrones dispuestos a robarte la cartera como locos o naciones que no dudarán en envenenar el sistema de agua potable de un país. Con la “softwarización” del mundo, han cambiado las herramientas, no las amenazas ni la naturaleza humana.

4.- ¿Crees que el malware al final ha “beneficiado” a Windows?

Windows 10 tiene más características de seguridad para combatir el malware que cualquier sistema operativo. No, no he dicho que sea el más seguro. Pero sí dispone de herramientas para defenderse bien. Windows 10 no es XP. La lectura a fondo de cualquier “write up” que permita aprovechar una vulnerabilidad en Windows te da una idea de la enorme cantidad de problemas que debe sortear el investigador. Y con cada una de ellas, el sistema mejora.

Figura 7: Máxima Seguridad en Windows Gold Edition
de Sergio de los Santos en 0xWord.

El malware ha evolucionado para atacar con éxito este sistema operativo de una forma implacable y furibunda. Y como se suelde decir “la calidad de tu enemigo te define”. La complejidad que está alcanzando el sistema tanto por sí mismo como por las herramientas de terceros que le permiten monitorizar y detectar ataques, está consiguiendo que los atacantes profesionales (sobre todo las bandas de ransomware) estudien entrar ya por servidores Linux y estén portando sus herramientas. No es que sean más o menos seguros, es que todos los ojos están en Windows, mientras que se nos ha olvidado que existen otros sistemas operativos tan susceptibles de ser un objetivo como cualquier otro y no ha incorporado por igual herramientas para su defensa ante el malware y la monitorización.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)