miércoles, 16 de marzo de 2011

La utopía de la in-seguridad

Charlando por WhatsApp con un amigo, me preguntó la típica duda que termina teniendo tarde o temprano todo hijo de vecino ¿Por qué mi antivirus deja pasar algunos virus?

Mientras volvía del trabajo, la paranoica me atrapó de nuevo por el camino para redactar el fenómeno que ocurre en la constante guerra entre hackers y anti-hackers. Hemos llegado a una auténtica lucha más que polémica entre lo que ofrecen las empresas antivirus en sus campañas publicitarias y lo que están dispuestos a darnos, o a hacer creer a los usuarios más inexpertos diría yo.

La disputa viene de “antis” y es que no existe la vacuna perfecta para un ataque informático.

Nos dice un entendido:

Los virus entran por el USB, bájate el software de Elipen o USB Vaccine de Panda

Tu llegas tan feliz a tu PC y vacunas tu pendrive con una carpeta “imborrable” para evitar la creación por medio de un malware de un autorun.inf en la raíz. Al día siguiente entra un bicho que modifica la estructura en disco del formato fat32 y revierte tu magnífico sistema de protección.

Sin olvidar que ese antivirus tan recomendable que te pasó tu amigo “el informático”, te toca las narices cada cinco minutos asustado por encontrar un autorun que pusiste tu mismo, gracias al anterior entendido.




¿Pero acaso el antivirus lee el contenido del antiautorun que introduje? Un falso positivo como una casa.

Cuando ya parecía que tenían la solución aparecieron las cajas de arena, aplicaciones fantásticas donde ejecutar el supuesto virus y conseguir un log enorme de los movimientos y conexiones que hace el malware en el sistema.




Otros más ágiles, prefirieron montarse máquinas virtuales y probar suerte a ver si el crack famoso, pese a que les detecte el antivirus funciona. Desde las manos de los creadores de troyanos, parece que no lo tienen muy difícil a la hora de incorporar un anti.




Y nacieron los anti cajas de arena ¡Total! Es tan simple agregarlo a mi proyecto, como buscar en Google.

Ya cuando al fin te enteras de que cualquier tipo de bicho puede llevar estas protecciones, como que te asustas menos, entonces se les ocurrió crear crypters que además de saltarse los antivirus se saltasen las cajas de arena y las máquinas virtuales.




¿Y si el virus tiene un sleep en la ejecución y retarda el código malicioso?
¡Te lo tragas!

¿Y si el código malicioso se ejecuta al cuarto reinicio?
¡Te lo tragas!

¿Y si el archivo pesa un número de megas tan grande que el antivirus no admite scanear?
¡Te lo tragas!

¿Y si está cifrado sin más?
¡También! ¡Te lo tragas! ¡Te lo tragas todo! Y dale gracias a que no te detecte la calculadora de Windows.

Entonces piensas... ¿Para qué me compro un antivirus en vez de estudiar forense?

Saludos 4n4les! ;)

12 comentarios:

  1. Ya hablaremos, que tengo una idea para una entrada del blog un tanto ingeniosa...

    Saludos 4n4l!

    ResponderEliminar
  2. Soy yo, YO. Espero que me reconozcas por la letra me reconozcas. Eres un mamon, pones que los antivirus no sirven para nada pero no me dices como cojones se quita un virus sin antiviruss!! xDD

    ResponderEliminar
  3. aunque lo quitaras y tengas la ultima actualizaicon del mejor antivirus de seguro el bicho hizo una copia del mismo modificandose al punto que esta vez ya no lo detectes tan facilmente ni con todo el arsenal de herramientas que abundan por ahi, los malwares estan evolucionando tanto que de seguro lo que estan sacando ahora ya deben tener algo de IA capaz de detectar todo movimiento ejecutado por el usuario para que a la proxima su infeccion sea lo mas desapercibida posible

    ResponderEliminar
  4. @p0is0n

    Uuuh soy todo oidos!

    @YO

    Te reconozco por "pero no me dices como cojones se quita un virus" y "XDD" jajaja lo mismo esta entrada te hace una pequeña idea.

    http://www.enelpc.com/2010/11/los-antivirus-realmente-nos-protegen.html

    @Anónimo

    Los de esta generación ya no se quedan atrás en modo rootkit de aplicación, trabajan a nivel de kernel y el sistema, los firewall, los antivirus y hasta el mejor anti-leak ¡Se los traga!

    ResponderEliminar
  5. Si con AdjustPrivilege y demás nos ejecutamos en el KernelSpace de Windows, vamos a tener un control total y podremos interactuar con el hardware... el proceso será SYSTEM y no se podrá cerrar... podríamos eliminar todos los drivers y más... No haría falta ni ASM total, solo un poco Inline en C/C++, y vualá... partiríamos de una inyeccion dll en un proceso como explorer por ejemplo...
    Ningún antivirus nos proteje cuando hacemos doble click... ;)

    Saludos Locas!

    ResponderEliminar
  6. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  7. Me equedado perplejo a tal inseguridad de los Av's, a mi me gusta trabajar sin Av. pero tmbien no me pongo a entrar a paginas o descargar cosas que no tengo confianza, mi punto de partida y regreso por l red es muy limitada, creo solo visito 5 paginas a 8 en total cuando me conecto...

    Asi que para que me preocupo de tener un Av.

    ResponderEliminar
  8. @Anonimo último tienes un troyano.

    El blog esta muerto o que? Da la cara

    ResponderEliminar
  9. Anonimo@

    No dejo de pasarme ni un solo día por el blog, aunque muchas veces lo haga desde el teléfono, el problema es que lamentablemente no dispongo del suficiente tiempo libre para redactar, pues tengo las mañanas ocupadas con el trabajo, las tardes igual de tren en tren y llego a casa a las 10:30 de la noche. A esas horas me apetece cenar, una ducha fresquita y rascármelas un rato charlando con amigos.

    Cuando tenga las tardes con tiempo como hasta hace poco, seguiré con nuevos temas...

    Saludos! ;)

    ResponderEliminar
  10. Hola... muy buena informacion muy cierta tambien....creo que la mejor proteccion es como en la vida real prevenir y ser cuidadosos... Saludos...Visitame

    ResponderEliminar
  11. y porque vos no te tragas esta que lo unico que haces es joder a los demas hackeando y rompiendo las bolas... manga de forros... en ves de estar hackeando microchot y essas vergas se ponen a hacer virus... que manga de inutiles...

    ResponderEliminar
  12. Y que me dicen lo que sucede en linux respecto a todo esto que hablan

    ResponderEliminar