Por muy diligente que sea usted en el mantenimiento de su PC, todavÃa será vulnerable a los ataques del dÃa cero. He aquà lo que debe saber sobre estos peligros y los agujeros de seguridad que ellos aprovechan.
Usted no descuida su seguridad. Mantiene al dÃa sus programas y tiene un programa antivirus instalado. Toma la precaución de ver por dónde navega y lo que instala en su computadora.
Pero el pasado mes de septiembre, si hubiera visitado una bitácora hospedada por HostGator, un proveedor importante de servicios de hospedaje basado en la Florida, su navegador habrÃa sido reexpedido inmediatamente a un sitio de la Web infectado que aprovechaba una vulnerabilidad existente en un viejo formato de imágenes de Microsoft.
En cuestión de segundos, un grupo de programas maliciosos habrÃa invadido su computadora.
De haber sucedido esto, usted serÃa una vÃctima más de un ataque del dÃa cero, que es perpetrado contra un defecto en el software cuando todavÃa no ha sido publicado un parche para enmendarlo. Originalmente, el término describÃa una vulnerabilidad que era explotada ‘en estado silvestre’ (es decir, fuera de un laboratorio de investigación) el mismo dÃa que el parche estuviera disponible, lo que dejaba al personal del departamento de informática cero dÃas para cerrar el agujero.
Hoy, el valor que los ataques del dÃa cero tienen para los cibercriminales está ascendiendo rápidamente porque pueden forzar la entrada en sistemas bien mantenidos y actualizados. Por ejemplo, en diciembre pasado, Raimund Genes, funcionario principal de tecnologÃa de Trend Micro, se fijó en un cintillo de propaganda que aparecÃa en una sala de charlas de Internet: se trataba de un pirata que querÃa vender una vulnerabilidad no revelada en una versión beta de Windows Vista por la impresionante suma de US$50.000, aunque Genes no pudo determinar si alguien habÃa comprado el código.
“Ahora existe un trasfondo mucho más organizadoâ€, dice Dave Marcus, gerente de investigación de seguridad en McAfee. “Estos [criminales] se han dado cuenta de que pueden ganar dinero con sus programas maliciososâ€.
Programas maliciosos por dinero
El programa malicioso puede ser un ‘robot,’ por ejemplo, capaz de forzar a su PC a que participe en el envÃo de correo indeseado o en ataques de negación de servicio contra sitios de la Web. “Es mucho más fácil que golpear a una anciana en la cabeza para robarle el bolsoâ€, Marcus dice. “Es muy anónimo y un criminal podrÃa hacer todo esto desde la seguridad y comodidad de una cafeterÃa Starbucksâ€.
Gracias a ciertas funciones como un análisis mejor que no depende de las firmas, el antivirus de McAfee y otros programas de seguridad son ahora más ágiles a la hora de protegerle contra amenazas desconocidas. Y una gran variedad de programas nuevos, tanto gratuitos como comerciales, ofrece la protección previsoria contra los ataques del dÃa cero limitando el poder destructivo de un ataque exitoso.
Con una instalación correcta de seguridad usted puede protegerse el 99 por ciento de las veces, dice Jeff Moss, quien fundara la conferencia de seguridad anual BlackHat. Pero los ataques especÃficos a veces pueden penetrar su sistema de todas formas. “Usted puede ir y comprar muchos cortafuegos, programas y equiposâ€, asegura, “pero si existe el dÃa cero correcto en el componente correcto, es casi como si toda esa protección adicional no sirviera de nadaâ€.
Las variedades más peligrosas de este tipo de ataques permiten la transferencia furtiva, donde con sólo mirar una página envenenada o leer un correo electrónico HTML infectado se puede provocar una invasión capaz de llenar su PC de programas espÃas, caballos de Troya, u cualquier otro software malicioso. Entre finales de 2005 y los últimos meses de 2006, los cibercriminales usaron por lo menos dos de estos ataques del dÃa cero para atacar millones de usuarios aprovechándose de agujeros en ciertos tipos de imágenes de Microsoft que rara vez se usan.
En el caso de la debacle de HostGator relacionada con el defecto en las imágenes de Windows, el ataque aprovechó una vulnerabilidad en la manera en que Internet Explorer maneja el Vector Markup Language (VML), una norma infrecuentemente usada para crear gráficos de 3D.
La amenaza fue reportada por primera vez en septiembre por Sunbelt Software, una compañÃa de seguridad, que la encontró en un sitio pornográfico ruso de la Web. Por sà solo, el agujero ya era suficientemente peligroso. Si usted navegaba por un sitio que tenÃa una imagen envenenada, podrÃa verse afectado por una transferencia furtiva . Pero los atacantes oportunistas reconocieron como magnificar el daño.
Al dirigir sus miras a un segundo agujero desconocido en cPanel, una interfaz de administración de sitios Web, los malhechores secuestraron miles de sitios mantenidos por HostGator. Los visitantes de estos sitios Web legÃtimos pero alterados fueron reexpedidos entonces a sitios maliciosos que contenÃan el ataque de VML.
Los productos de Microsoft como Internet Explorer, Office y el propio sistema operativo Windows son blancos comunes de los ataques del dÃa cero (y otros), en parte porque son tan dominantes en el mundo del software. Pero los descuidos de Microsoft en el pasado al no integrar adecuadamente la seguridad en el desarrollo de sus productos han contribuido a que sean blancos tan populares (y tan fáciles). Por otra parte, la seguridad de Vista está recibiendo el visto bueno de muchos, al menos al principio; vea “Defensa contra el dÃa cero en el nuevo sistema operativo de Microsoft†en este mismo artÃculo.
Solamente en 2006, cuatro ataques diferentes del dÃa cero fueron dirigidos contra Internet Explorer 6, directa o indirectamente. El año comenzó con ataques continuos que se aprovecharon de un defecto descubierto en diciembre de 2005, en el formato de imágenes Windows Metafile; el agujero se encontraba en una parte subyacente de Windows usada por IE para representar una imagen en WMF.
Una vez que los ataques llegaron al conocimiento público, Microsoft dijo primero que incluirÃa un parche semanas después como parte de su ciclo normal de correcciones parciales, pero a medida que aumentaron los ataques y las protestas del público, la compañÃa publicó una corrección fuera del ciclo a principios de enero.
Sin embargo, el parche no terminó con los ataques, lo cual demuestra que las amenazas del dÃa cero pueden tener efectos a largo plazo. Como el defecto de VML, la debilidad de Metafile abrió las puertas a la transferencia furtiva de material nocivo, que los criminales adoran porque las vÃctimas no tienen que pulsar sobre la imagen envenenada para infectarse. Si usted instaló el parche de Microsoft mediante las actualizaciones automáticas, no correrÃa peligro. Pero, claro está, muchos usuarios de Windows no lo hicieron.
En julio, una tira publicitaria maliciosa de Deckoutyourdeck.com se introdujo en sitios como MySpace y Webshots por medio de una red de distribución de anuncios que sirve a millares de sitios. El programa malicioso escondido en la tira bajó un caballo de Troya a las PC de las vÃctimas, que a su vez instalaron programas publicitarios y espÃas. Los observadores estimaron en millones el número de vÃctimas, siete meses después de la publicación de un parche.
Ataques dirigidos a Office
A diferencia de las amenazas más peligrosas de cero dÃas diseñadas para el IE, las que están dirigidas contra Word y otras aplicaciones de Office no pueden emplear la transferencia furtiva . Por lo general, éstas necesitan que una vÃctima haga doble clic sobre un archivo adjunto al correo electrónico, y cuando se combinan con ataques orquestados contra compañÃas particulares, hasta los usuarios más cautos pueden pulsar accidentalmente.
Enviando a los empleados de la firma atacada un mensaje ficticio de correo electrónico que parece venir de un compañero de trabajo o de otra fuente dentro de la compañÃa, un pirata tiene más probabilidad de convencer al destinatario a que abra un documento adjunto de Word que si el mensaje pareciera venir de un remitente casual.
A mediados de diciembre, Microsoft confirmó que Word tenÃa dos de estas vulnerabilidades que las cookies aprovechaban para iniciar “ataques muy limitados y enfocadosâ€, tras la manipulación de una cadena de defectos similares en Excel y PowerPoint. La compañÃa ahora advierte a los usuarios que tengan cautela no solamente con el material anexo al correo electrónico en mensajes de remitentes desconocidos, sino también que desconfÃen de los anexos no solicitados de remitentes conocidos.
Los productos de Microsoft pueden ser los blancos más populares para los ataques del dÃa cero, pero otros programas comunes se han convertido en métodos de ataque igualmente peligrosos. En enero, un investigador anunció que habÃa descubierto un defecto en manipulación de vÃdeo de QuickTime que permitirÃa a un atacante controlar la computadora de la vÃctima. A finales de noviembre de 2006, una vulnerabilidad de cero dÃas en el control ActiveX de Adobe para el navegador introdujo un riesgo similar.
El alza en las incidencias de ataques del dÃa cero refleja un aumento importante en el número anual de vulnerabilidades de software reportadas. En 2006 los investigadores y fabricantes de software catalogaron unas 7.247 debilidades; 39 por ciento más que en 2005, según Internet Security Systems Xforce.
Sin embargo, la mayorÃa de estos errores no conduce a ataques del dÃa cero. Las compañÃas de software frecuentemente reciben informes de errores y bloqueos de sus usuarios, lo cual conduce al descubrimiento de un agujero de seguridad, que la compañÃa entonces corrige antes de que los atacantes puedan aprovecharlo. Cuando los investigadores de seguridad externos descubren un defecto, ellos (al menos en su mayorÃa) se adhieren a una serie de prácticas, conocidas como “la divulgación éticaâ€, diseñada especÃficamente para evitar los ataques del dÃa cero.
Bajo los parámetros de divulgación ética, los investigadores primero se comunican confidencialmente con el vendedor de software para informar de sus hallazgos. La compañÃa no anuncia el problema hasta que no tenga listo un parche, en cuyo momento acredita públicamente a los investigadores originales con el descubrimiento del defecto.
Pero a veces los investigadores, frustrados con la lentitud de las investigaciones del productor del software, hacen públicos los detalles de la vulnerabilidad cuando todavÃa no está resuelta. Algunos expertos consideran que esta táctica es un mal necesario para forzar a las compañÃas recalcitrantes a producir una corrección; otros lo condenan como un alejamiento poco ético de las prácticas de la industria.
La gente que aboga por la divulgación pública argumenta que si un investigador sabe del defecto, los criminales probablemente también lo conocen, y los criminales inteligentes mantendrán sus ataques pequeños y enfocados para no llamar la atención del fabricante. Desafortunadamente, con demasiada frecuencia las divulgaciones públicas de una vulnerabilidad desenfrenan los ataques del dÃa cero.
Otra práctica cuestionable es la de los cazadores de recompensas. Algunas organizaciones, entre ellas iDefense y 3Com Zero Day Initiative, pagan a los investigadores por informar sobre los ataques del dÃa cero. iDefense, por ejemplo, ofrece una recompensa de US$8.000 por la información de vulnerabilidades en IE7 y Vista. Las compañÃas de seguridad entonces comunican sus descubrimientos confidencialmente a las compañÃas de software. Aunque no se les admira universalmente, estos programas ponen efectivo en los bolsillos de los investigadores, un resultado que muchos prefieren a la simple palmada en la espalda que reciben de los productores de software.
Quizás lo más importante es que las recompensas de las compañÃas de seguridad compiten con el creciente mercado negro por las vulnerabilidades de cero dÃas. El vendedor de la vulnerabilidad de Vista que Genes de Trend Micro observó en una sala de charla puede haber encontrado o no un comprador al precio de US$50.000, pero los informes de eweek.com y compañÃas de seguridad dicen que los ataques de WMF comenzaron inmediatamente después de la venta de los detalles pertinentes del error por la bonita suma de US$4.000.
Para encontrar los defectos, los investigadores y criminales usan herramientas automatizadas llamadas “fuzzers†para encontrar lugares donde un programa acepta datos y entonces les envÃan sistemáticamente combinaciones extrañas de datos. Frecuentemente, estas pruebas encuentran un defecto conocido como desbordamiento de búfer.
Las compañÃas de software, incluso Microsoft, utilizan generalmente las herramientas para encontrar defectos en sus propios productos. Pero los malhechores hacen lo mismo: Moss, organizador de BlackHat, y muchos otros expertos dicen que los criminales organizados de Europa del Este, los grupos disciplinados de hackers chinos y otros delincuentes usan los “fuzzers†para encontrar deficiencias valiosas para ataque del dÃa cero. Los descubridores pueden usar el error para atacar por su cuenta o, como en el caso de WMF, pueden venderlo en el mercado negro.
Cuando una compañÃa puede reparar un defecto de seguridad antes de que ocurran los ataques, el personal de informática de la compañÃa y los usuarios en el hogar tienen tiempo para actualizar su software y mantenerse a salvo. Pero tan pronto comienza un ataque del dÃa cero, el reloj comienza la cuenta regresiva. Y a veces funciona durante bastante tiempo antes de que aparezca el parche necesario.
En la mitad primera de 2006, según el informe de seguridad de amenazas de Internet generado por Symantec para el mes de septiembre de 2006, Microsoft empató con Red Hat Linux en el desarrollo más rápido de parches para los sistemas operativos comerciales: un tiempo promedio de 13 dÃas.
Demoras en los parches para el navegador
Pero en la actualización de los navegadores –especialmente cuando se estaba produciendo un ataque del dÃa cero– Microsoft quedó detrás de Apple, Mozilla y Opera en la producción de parches. Como promedio, las correcciones parciales del IE aparecieron 10 dÃas después de descubrir el defecto, mientras que los navegadores de Opera, Mozilla y Safari fueron reparados, como promedio, en 2, 3 y 5 dÃas, respectivamente (para una cronologÃa de los ataques del dÃa cero de VML y del ciclo de correcciones parciales, vea el recuadro “En marcha un ataque del dÃa ceroâ€).
Adan Shostack, un gerente de programas para el equipo de desarrollo de seguridad de Microsoft, dice que a veces un perÃodo de tiempo más largo es de esperar dada la complejidad de la base de usuarios de Microsoft.
“Tenemos que probar las actualizaciones de seguridad para estar seguros de que trabajarán en 28 idiomas diferentes y en cada SO que reconoce la aplicaciónâ€, dice Shostack. “Realmente nos esforzamos por mantener un equilibrio entre la calidad y la velocidadâ€.
El software de seguridad le ayuda a protegerse de las amenazas desconocidas durante el intervalo peligroso que separa al ataque inicial de un parche eficaz, pero los programas antivirus tradicionales necesitan la firma identificada de un ataque para protegerle contra él. Esto enfrenta a los escritores de programas maliciosos con las compañÃas de seguridad en un juego constante del ratón y el gato, donde los piratas producen un flujo constante de caballos de Troya y otros programas maliciosos que han modificado lo suficiente como para eludir el reconocimiento de firmas.
El análisis heurÃstico y de comportamiento puede ir más allá de este modelo evolutivo para dar la ventaja a los programas de seguridad. Estas exploraciones usan algoritmos, en vez de firmas, para buscar archivos o comportamientos anormales. El análisis heurÃstico revisa el contenido de los programas potencialmente maliciosos para detectar cosas tales como un método sospechoso de trabajo con la memoria. Mientras tanto, el análisis de comportamiento inspecciona los programas para detectar la conducta tÃpica de los programas maliciosos –como comenzar un servidor intermedio de correo electrónico– tratando de identificar los intrusos por lo que hacen en vez de fijarse en lo que contienen.
Hoy, la mayorÃa de los programas antivirus incorpora uno o ambos tipos de análisis. El año pasado, las pruebas realizadas por PC World usando firmas que tenÃan un mes de creadas produjeron tasas de detección del 20 al 50 por ciento.
Pero el análisis de heurÃstica y de comportamiento es susceptible a los falsos positivos. Un programa de seguridad puede no ser capaz de distinguir entre un rastreador de golpes de teclas y un juego que pide acceso directo al teclado para acortar el tiempo de respuesta. Como resultado, el software de seguridad puede importunarle constantemente con alertas y preguntas.
Según estima Jeff Moss, de BlackHat, este tipo de detección no será realmente útil por sà misma durante otros cinco de años. “La tasa de falsos positivos y falsos negativos es demasiado alta. Todo el mundo está ideando maneras novedosas de detectar un uso sospechoso; pero tan pronto tratan de implementarlas, los usuarios se quejanâ€.
Otros enfoques
Los miembros de otra clase de productos de seguridad tratan de resistir las nuevas amenazas cambiando el entorno de computación del usuario para limitar el daño de una invasión exitosa. Algunos (como GreenBorder Pro) crean un “cajón de arenaâ€, o un entorno blindado virtualmente, para los programas que son blancos frecuentes, como los clientes de correo electrónico y los navegadores de la Web. Un ataque podrÃa penetrar las defensas del IE, por ejemplo, pero cualquier intento de instalar programas espÃas o de hacer otros cambios maliciosos escaparÃa del cajón de arena.
Otros programas, en lugar de crear un entorno virtual, modifican los derechos del usuario para limitar la capacidad de un programa de hacer cambios significativos en el sistema. Esta categorÃa de programa incluye la aplicación gratuita DropMyRights de Microsoft.
Y otros tipos de programa, como el VMWare Player gratuito, instalan un sistema operativo encapsulado que incluye su propio navegador. El navegador es completamente separado de su entorno de computación regular que usted emplea. Para más información sobre todos estos tipos de programas de seguridad diseñados para mitigar daños, vea la columna de Erik Larkin “Desarme las amenazas de la red†(find.pcworld.com/56458).
El nuevo sistema operativo Windows Vista de Microsoft presenta actualizaciones de seguridad que siguen estas mismas tendencias (vea “Defensa contra el dÃa cero en el nuevo sistema operativo de Microsoftâ€). Pero nadie cree que las vulnerabilidades del software ni los ataques del dÃa cero vayan a desaparecer. El mercado negro establecido para datos robados y los que envÃan el correo indeseado sin saberlo garantizan que los criminales continuarán encontrando maneras de enriquecerse con los programas maliciosos.
No obstante, Perry se mantiene optimista acerca de la seguridad en Internet. “Creo que con el tiempo tendremos una Web donde las amenazas sean una simple molestiaâ€, dice. “Pero no será para este añoâ€.
-Ryan Singel
En marcha un ataque del dÃa cero
Sunbelt Software descubrió ataques en septiembre pasado contra una vulnerabilidad en los gráficos que utilizan el formato Vector Markup Language, que rara vez se utiliza pero que todavÃa es reconocido por Windows. En menos de una semana, los criminales habÃan infectado miles de sitios con imágenes envenenadas capaces de infligir un ataque de transferencia furtiva a cualquier usuario desafortunado que mirara la imagen.
18 de septiembre de 2006: Los primeros ataques de imágenes VML son reportados en un sitio ruso.
19 de septiembre de 2006: Microsoft publica un aviso con una solución provisional y dice que el parche estará disponible el 10 de octubre.
20 de septiembre de 2006: Symantec informa que el código malicioso ha sido incluido en un kit fácil de usar que está a la venta en Europa del Este.
22 de septiembre de 2006: El equipo Zeroday Emergency Response Team publica un parche no oficial. Miles de sitios de HostGator legÃtimos pero modificados redirigen a sus visitantes a sitios que portan el código de ataque VML.
26 de septiembre de 2006: Microsoft publica una corrección dos semanas antes de lo anunciado.
16 de enero de 2007: iDefense confirma que un ataque similar del dÃa cero aprovecha otro agujero crÃtico de VML.
Ataque dirigido a los documentos
21 de mayo de 2006: Son lanzados ataques dirigidos desde Taiwan y China que aprovechan un error en Microsoft Word (uno de los muchos defectos de cero dÃas en Office reportados en el 2006), para atacar una compañÃa no identificada. Según el Internet Storm Center, los ataques imitan un correo electrónico interno de la compañÃa, lo que aumenta las probabilidades de que un empleado incauto abra un anexo contaminado.
Defensa contra el dÃa cero en el nuevo sistema operativo de Microsoft
¿Cuánta protección contra un ataque del dÃa cero ofrecerán las nuevas caracterÃsticas de seguridad anunciadas para Vista? Más de lo que usted se imagina.
La caracterÃstica clave pudiera ser el Control de acceso del usuario, que cambia los permisos de cuentas de usuarios en Vista. Por cuestiones de conveniencia, casi todos los usuarios de Windows XP en el hogar lo usan con los privilegios de administrador ya que éstos privilegios son necesarios para las tareas más comunes del sistema. Pero los atacantes pueden aprovechar esos derechos otorgados para hacer modificaciones importantes en el sistema, como instalar programas maliciosos que esconden rootkits.
Por el contrario, la cuenta de usuario predeterminada de Vista se encuentra a medio camino entre la cuenta totalmente abierta del administrador y un pase de invitado donde es imposible hacer cambios. Microsoft ha tratado de hacer el cambio más tolerable autorizando a los poseedores de cuentas normales a realizar algunas tareas rutinarias del sistema como la instalación de controladores de impresoras, pero los usuarios que desean más control ya se están quejando porque tienen que hacer clic muchas veces en el Control de cuentas de usuarios que necesitan una contraseña de administrador.
Además, el Internet Explorer funciona de forma predeterminada en un modo protegido con la menor cantidad de permisos posible. Esta adaptación limita el daño que un ataque del dÃa cero capaz de secuestrar a IE (como el defecto de WMF o VML) puede causar en su PC.
Finalmente, Vista vendrá con Windows Defender, que puede bloquear los intentos de los programas maliciosos de agregar elementos en la carpeta de inicio (por ejemplo, disfrazado como un programa básico de contraespionaje). El sistema operativo también entremezcla las ubicaciones donde las bibliotecas y los programas se cargan en memoria, de manera que los programas maliciosos que traten de encontrar y cambiar los procesos más importantes del sistema tendrán que tratar de acertar en blancos en movimiento.
MySpace invadido
28 de diciembre de 2005: En este precursor al ataque similar del VML, un defecto existente en el tipo de imagen WMF de Microsoft, que es poco utilizado, permite la transferencia furtiva de material cuando el usuario mira una página que contiene una imagen contaminada. Microsoft publica un parche el 5 de enero, pero en julio una tira publicitaria maliciosa infecta a millones de PC que visitan MySpace, Webshots y otros sitios sin haber aplicado aún la corrección.
Fuente: PCWorld En Español