En aquest mòdul veurem què és el malware o software maliciós i com es propaga, és a dir, com arriba fins als usuaris. També veurem què són les botnet, vinculades al cibercrim, i veurem l’estructura d’un atac complet.
A la comunitat del GNU diuen, així, tal qual, que “El software de Microsoft és malware“. Però què és el malware? Doncs software maliciós (de l’anglès MALicious softWARE), un tipus de programari que s’injecta dins de les aplicacions o sistemes operatius a través del seu codi de programació i que pot, per exemple, espiar l’usuari. Cada clic que fem genera dades i n’hi ha que les recullen… ”es para escucharte mejooooor” que li deia el llop a La Caputxeta.
Per distingir entre els diferents tipus de malware el classificarem en funció de com es propaga. Aquí les categories:
El que avui dia (gener 2016) és molt freqüent és crear programari maliciós per tal que l’usuari formi part d’una botnet. Diu en Federico que una botnet és un sistema distribuït de computadores que estan controlades per un atacant.
Evidentment, el malware fa servir tota mena de tècniques per tal de no ser detectat per un programa antivirus, com tècniques criptogràfiques, empaquetament (packers), ofuscació de codi, s’uneixen a altres arxius…
Lògicament, a través d’Internet o no, ens podem infectar amb qualsevol cosa:
Com es veu al “quesito”, guanyen els Troians. Però un troià no s’executa sol sinó que necessita de la interacció de l’usuari…Així que, en última instància, la culpa seria de l’usuari, que no para atenció amb el software que descarrega…En resum: “Think before Click”, que em va dir un cop un compi pinoy :)
Destacar que el adware ha baixat en els darrers dos anys. I no és casualitat. Tot i no parlar directament d’Adblock, en Federico comenta que hi ha avui opcions al navegador que permeten eliminar les publicitats. Jo, de fet, no en veig ni una. Si vull anuncis, em miro un Cannes Lions. Un problema menys pels usuaris però un problema més per les empreses. L’adware, doncs, baixa, però els troians segueixen a l’alça. Això sembla la borsa de la maliciositat, com la que hi ha a Wall Street però infinitament més silenciosa.
Com podem saber que una pàgina no conté codi maliciós? Doncs haurem de delegar la confiança en el nostre antivirus. Jo faig servir Avast. Com podem saber que un programa no conté codi maliciós? Doncs si és lliure no hi ha problema perquè ho podem mirar nosaltres mateixos, però si el software és propietari, no ho podem saber perquè no tenim accés a la lectura del codi…
En un apunt gastronòmic -i parafrasejant una analogia d’Stallman-, el software és com un àpat. Pots anar a un restaurant caríssim (i boníssim, és clar!) i pagar una pasta. Però si demanes la recepta al cuiner no te la donarà mai…així que no t’ho podràs cuinar tu a casa. Potser t’és igual o potser desconfies.
En canvi, si dines a casa de la iaia el cost del menjar serà zero i estarà boníssim igual. I no només et donarà la recepta sinó que estarà encantada que li facis de “pinche” i puguis veure per tu mateix com arriba a fer unes mandonguilles tant bones. A més, no et denunciarà si li copies la recepta o la modifiques afegint-li o traient-li algun ingredient. I tampoc s’enfadarà amb tu si comparteixes la recepta amb altres personetes.
Qui crea el malware i per què? Per guanyar diners, normalment. Hi ha persones que programen per altres que ho demanen. Mercenaris 2.0. Hi ha una xarxa de distribució, que també cobra per contactar les víctimes. L’amo de la botnet, que el té perquè ha fet que altres ho creen i l’ha pagat, contacta amb intermediaris que fan de distribució. Es pot col·locar el malware en una foto de Facebook (només clicant-hi ja ens infectem), es pot posar als servidors online… fins que arriba a l’usuari.
La cosa és que el malware es pot quedar ràpidament obsolet perquè els antivirus es van actualitzant constantment, fins i tot, diverses vegades al dia. Per evitar això, el desenvolupador es connecta al malware de les computadores a través d’un panell de control o d’administració (botmaster) per enviar-els-hi una actualització del malware. Com el botnet té característiques de connexió remota, el codi maliciós també s’actualitza…De la xarxa de computadores vampiritzades en diuen computadores zombi. Una botnet petita pot tenir un miler d’usuaris, una gran botnet pot tenir 150.000 usuaris.
Al connectar-se a les computadores, el desenvolupador pot fer atacs de phising (el timo de la estampita 2.0) o emmagatzemar contingut il·legal i poder comercialitzar-lo alegrement, o també pot fer allotjar SPAM o altres tipus d’atacs com DDoS o Drive-by-download. Tot plegat afecta a tothom: persones, empreses i governs.
Com es guanya diners fent tot aixó? En realitat no es guanya diners per l’atac en si mateix, sinó a través d’una tècnica comercialment més neta: el subarrendament de fragments de la botnet. Es podria donar el cas de llogar una botnet per mitja hora i fer un atac DDoS a un sistema. Et donen 30 segons de prova gratuïta per comprovar que tot funciona i, si la llogues, pots apropiar-te d’informació que després pots vendre tu. Quin merder…La penya s’embolica fent cada cosa…Tot un veritable model de negoci…I molt rentable es veu…Només el phising mou 6.000 milions de dòlars anuals.
Un atac tipus botnet tindria la següent seqüència:
Potser però no s’ataca des d’una botnet sinó que es pot produir un atac puntual. En aquest cas, l’atacant no tindria interès en mantenir l’accès sinó que tancaria el cicle de la infecció. Per fer-ho, desinfectaria l’equip, esborraria les seves traces i sortiria del sistema.