Vídeo: Scott Galloway Says Amazon, Apple, Facebook, And Google should be broken up (Setembre 2024)
Vern Paxson, catedràtic d'Enginyeria Elèctrica i Ciències de la Computació de la Universitat de Califòrnia, Berkeley, té fama de la comunitat de seguretat per un treball de 2002 titulat How to Own Internet in Your Spare Time (entre moltes altres funcions). Basat en un anàlisi detallat dels cucs Vermell i Nimda, el document va promoure la necessitat d'un "Centre de control de malalties" cibernètic. En aquests dies, Paxson està estudiant una manera diferent de gestionar problemes de seguretat a gran escala: la infiltració. La seva nota principal a la 10a Conferència Internacional sobre Programes Maliciosos i No desitjats (en breu MalCon 2015) em va impressionar i els assistents amb la senzillesa d’aquest plantejament.
Guanyeu grans diners per al vostre temps lliure
Voleu guanyar grans diners en el sector del malware? No cal ser un codificador. Encara que tingueu aquestes habilitats, no heu d’aprendre tots els aspectes de la creació i distribució de programari maliciós. A l'ecosistema de programari maliciós hi ha diferents tasques diferents.
La figura clau d’aquest ecosistema és el corredor, el tipus que coneix negocis però no codifica. Té dos tipus de clients. Els codificadors de programari maliciós tenen un programari desagradable que els agradaria instal·lar-se a molts equips de consum. Es podria tractar de components antivirus falsos, ransomware, botnet, gairebé qualsevol cosa. Després hi ha els afiliats, codificadors que disposen dels recursos per obtenir un programari arbitrari instal·lat en sistemes sense protecció. Utilitzen tècniques com ara descàrregues drive-by, correu brossa i phishing per provocar un descarregador en sistemes de víctimes.
Ara les rodes comencen a girar. Els codificadors de programari maliciós es contracten per pagar al corredor per instal·lar el seu codi en tants sistemes com sigui possible. Els afiliats instal·len descarregadors en tants sistemes com sigui possible. El descarregador es posa en contacte amb l'agent, que subministra programari maliciós des dels codificadors, probablement diverses instàncies. I els afiliats es paguen en funció del nombre d’instal·lacions. Tothom fa un avantatge en aquest sistema de pagament per instal·lació (PPI) i aquestes xarxes són molt importants.
"Aquí hi ha un parell de brillants", va dir Paxson. "El corredor no fa res, no s'interromp, no descobreix les gestions. El broker no és més que un intermediari, aconseguint beneficis. Els afiliats no han de negociar amb dolents ni saben què fer després d'haver entrat. Tots els membres només han de fer la seva part ".
Els nois dolents tenen una mala seguretat
"Històricament, la detecció d'atacs a la xarxa ha estat un joc de balena", va assenyalar Paxson. Comença un atac i apareix un altre. No és un joc que puguis guanyar.
El seu equip va provar un enfocament diferent contra aquest sistema PPI. Van capturar mostres de diversos descarregadors i les van generar inversament per determinar com es comuniquen amb els seus respectius agents. Armat amb aquesta informació, van idear un sistema per explotar el broker amb peticions de programari maliciós descarregable. Paxson titula aquesta tècnica de "munyir" el broker de programari maliciós.
"Pensaria que això fallaria", va dir Paxson. "Segurament el broker té algun tipus de sistema d'autenticació o de limitació de tarifes?" Però, al final, no ho són. "Els elements de ciberdelinqüència que no fan front a programari maliciós tenen deu anys després de la seva pròpia seguretat, potser quinze", va continuar. "Tenen orientació al client i no programari maliciós." Hi ha una segona interacció en què l’afiliat demana crèdit per la descàrrega; L’equip de Paxson va saltar naturalment aquest pas.
En cinc mesos, l'experiment va treure un milió de binaris, representant a 9.000 famílies de programari maliciós diferents de quatre programes d'afiliació. Correlant això amb una llista de les 20 famílies de programari maliciós més habituals, l'equip va determinar que aquest tipus de distribució podria ser el vector número un de distribució de programari maliciós. "Hem trobat que les nostres mostres estaven aproximadament una setmana per davant de VirusTotal", va dir Paxson. "Ho estem fresc. Tan aviat com els corredors volen empènyer-ho, ho aconseguirem. Un cop estigui al VirusTotal, no el pressioneu".
Què més podem infiltrar-nos?
L’equip de Paxson també va adoptar llocs web que venen comptes de treball per a molts serveis diferents. Va assenyalar que els comptes són completament vàlids i no precisament il·legals, perquè "l'única infracció és violar els termes del servei". Facebook i Google costen el màxim per mil, perquè requereixen verificació telefònica. Els comptes de Twitter no són tan cars.
Amb el permís de Twitter, el grup de recerca va comprar una gran col·lecció de comptes falsos. Analitzant els comptes, incloent metadades subministrades per Twitter, van desenvolupar un algorisme per detectar comptes creats mitjançant la mateixa tècnica de registre automatitzada, amb una precisió del 99, 462%. Utilitzant aquest algorisme, Twitter va eliminar aquests comptes; l'endemà, els llocs web de venda de comptes van anunciar que estaven fora d'existència. "Hauria estat millor acabar els comptes en un primer ús", va assenyalar Paxson. "Això hauria creat confusió i minat l'ecosistema".
Segurament heu rebut ofertes de correu brossa per vendre suplements de rendiment masculí, "reals" Rolexes i altres. El que tenen en comú és que realment han d’acceptar el pagament i enviar-vos el producte. Hi ha tones d’enllaços implicats per introduir el correu brossa a la safata d’entrada, per gestionar la compra i per rebre el producte. En comprar realment alguns articles legals, van trobar que l’enllaç dèbil d’aquest sistema era aconseguir que esborressin les transaccions amb targeta de crèdit. "En lloc d'intentar trastornar la botnet de correu brossa", va dir Paxson, "no la vam fer útil". Com? Van convèncer el proveïdor de la targeta de crèdit a la llista negra de tres bancs, a l'Azerbaidjan, Letònia i Sant Kitts i Nevis.
I què és per emportar? "Amb un atac a Internet a gran escala", va dir Paxson, "no hi ha cap manera fàcil de prevenir la infiltració. La infiltració és significativament més eficaç que intentar protegir cada extrem."
MalCon és una conferència de seguretat molt reduïda, composta per 50 assistents, que reuneix acadèmics, indústria, premsa i govern. Té el suport de la Universitat Brandeis i l’Institut d’Enginyers Elèctrics i Electrònics (IEEE), entre d’altres. Els patrocinadors d’enguany inclouen Microsoft i Secudit. He vist diversos treballs de MalCon aparèixer uns quants anys després, amb investigacions més madures, a la conferència de Black Hat, així que puc molta atenció al que es presenta aquí.
