Virus Troyanos


13tecno_ampliacion

troyanoLos virus troyanos son un tipo de malware cuyo principal propósito es dar acceso remoto a un sistema. Igual que el mítico caballo que usaron los griegos para introducirse en Troya sin levantar sospechas, estos programas tratan de pasar lo más desapercibidos que puedan, abriendo una puerta trasera para que un atacante remoto se introduzca en el ordenador.

Normalmente, los troyanos hacen más que proporcionar una puerta trasera: registran pulsaciones de teclas y páginas visitadas, transfieren datos del ordenador, lo convierten en parte de una botnet. Sin embargo, en el caso de los que usaría la policía lo más probable es que sólo proporcionasen un registro de acciones del usuario y un acceso para que se pudiesen explorar los contenidos del ordenador de forma remota.

Por otra parte, decíamos que el troyano trata de pasar desapercibido, así que no sería extraño que viniese acompañado de un rootkit. Este tipo de malware tiene como propósito ocultar procesos que puedan hacer sospechar al usuario.

¿Cómo? Como su nombre indica, los rootkits se instalan en el ordenador con permisos de administrador, superusuario o root. Al tener control completo del sistema pueden ocultar ciertos procesos y archivos, evitar que los antivirus hagan bien su trabajo, saltarse sistemas de cifrado… Así evitan que detectes que ha habido un compromiso en tu sistema.

Los rootkits pueden instalarse a nivel de sistema operativo (lo más normal), pero pueden llegar a reemplazar partes del núcleo o incluso del arranque del ordenador: de esta forma pueden saltarse cualquier protección que tengas (el rootkit controla todo el ordenador desde el momento en el que arranca) y resultan muy difíciles de detectar y eliminar.

¿Cómo podemos infectarnos?

Existen muchísimas formas de infección, veamos algunas.

Puede ser por una vulnerabilidad en un programa que tengas instalado y no actualizado (ejem, Flash, Java, Adobe Reader). Descargas un archivo especialmente preparado para que, al abrirlo, se ejecute un código que instale el rootkit en cuestión (vulnerabilidades por desbordamiento de búfer, en su mayoría).

También puede ser por fallos en el hardware y los controladores. No sería la primera vez que alguien toma control de un ordenador enviando unos paquetes especiales a la antena WiFi, o a la radio Bluetooth. Además, si entran de esta forma conseguirían directamente privilegios de administrador para hacer lo que quieran con el sistema.

Otra posible puerta: manipulación directa de los archivos que te bajas. Un ataque MITM (Man In The Middle, hombre en el medio), poniendo un software entre tu ordenador y el resto de Internet, modificaría un archivo ejecutable que te bajes inyectando código para instalar un troyano. Así, tú crees que estás instalando, por poner un ejemplo, Chrome, y en realidad estás instalando Chrome con un regalito de parte de tu amigo el hacker.

Lo más común: instalación de software pirata y acciones de crack que infectan el sistema bajo “nuestro consentimiento”. Esto sucede normalmente cuando descargamos programas subidos a internet por terceros, los cuales han modificado y nosotros no sabemos. De igual forma al aplicar un crack estamos instalando el programa para hacer valido e l software pirata pero ¿quien asegura que tal crack no tiene nada oculto?

Y no tenemos que irnos tan lejos. Alguien con acceso físico a tu ordenador puede coger ratón y teclado e instalar el malware sin vulnerabilidades ni complicaciones.

La moraleja es que si quieren ir a por ti, probablemente lo consigan. Más tarde o más temprano, tu ordenador será vulnerable. Incluso aunque tengas el sistema actualizado al segundo y con un antivirus analizando el sistema continuamente, alguien encontrará una vulnerabilidad que no conozca el fabricante y que podrá aprovechar para introducir su malware especialmente creado para ser indetectable por el antivirus. Aun así, no es cuestión de poner las cosas fáciles, así que veamos cómo protegernos.

Cómo proteger un sistema frente a un troyano

virus-troyanosNo vamos a repetir lo obvio: tener todas las aplicaciones actualizadas, un antivirus bueno, no bajar archivos de sitios que no conozcas.

Veamos medidas de este tipo, desde las menos intrusivas a las que sean más propias de un verdadero paranoico de la seguridad.

Primero de todo: nunca, jamás, en la vida, te conectes a una red WiFi abierta si te preocupa mínimamente la seguridad. Pueden ver el tráfico no cifrado, cualquiera puede ver qué puertos abiertos tienes en tu ordenador, e incluso podrían entrar con un clic en tus cuentas de servicios que no usen HTTPS.

También puedes asegurarte en tus conexiones a Internet usando HTTPS siempre que sea posible, o conéctate a través de una VPN para evitar ataques MITM. Si descargas algo, verifica que no se haya modificado por el camino calculando su hash y comparando con el que te dan en la página de descarga. Por supuesto súbelo a sitios como VirusTotal para comprobar que no es un malware. Ah, y aunque no lo parezca, una descarga por BitTorrent es más segura que una descarga directa.

Si está disponible, activa los controles de integridad de los archivos de sistema en tu antivirus. De esta forma, el antivirus chequeará que los archivos de sistema no han cambiado desde la última vez. Si han cambiado y no sabes por qué, mala suerte.

Separar las cuentas de usuario y administrador también es una medida muy sencilla y efectiva. No me refiero a cosas como el UAC de Windows 8, que te pregunta si un programa quiere hacer cambios en el sistema, o al sudo de Linux. No. Me refiero a que tengas dos usuarios distintos, uno para administración y otro para tareas de usuarios. Si quieres instalar un programa, sales de la cuenta de usuario y entras en la de administrador, y cuando acabes vuelves a la de usuario. En Windows y Mac esto implica quitar privilegios de administración de tu cuenta; en Linux, quitar tu usuario del archivo de sudoers para que no puedas usar sudo sino que tengas que entrar con otro usuario (su usuario).

Eso sí, ten en cuenta que cuanto más avanzado es el programa más difícil de usar es. En lugar de hacerlo todo automáticamente, estos programas te dan mucha información para que tú puedas decidir qué hacer. Hay que saber muy bien qué significa cada aviso que te da y qué hace cada opción de eliminación.

Otra medida bastante efectiva pero que fastidia mucho el uso del ordenador: poner un firewall en modo estricto. Con eso me refiero a bloquear todas las comunicaciones por defecto, y sólo permitir la conexión por ciertos puertos a las aplicaciones que tú hayas definido explícitamente. Básicamente, navegador, sistema de actualizaciones y poco más.

Cifrar nuestro sistema protegerá nuestros datos frente a intrusiones. Si ciframos todo el disco (incluyendo el SO), necesitaremos una contraseña para acceder al sistema, pero entonces todos los archivos aparecerán sin cifrar a nuestros ojos (y a los de los programas que se ejecuten en el sistema). Cifrar sólo ciertas carpetas o archivos es más recomendable si únicamente queréis proteger datos confidenciales (almacén de contraseñas, correos, agenda…). TrueCrypt es de los mejores programas para cifrar vuestro disco o sistema.

También podemos poner las cosas difíciles usando software más minoritario. No uses Windows o Mac, usa Linux. Tampoco uses Android o iOS, usa BlackBerry o Windows Phone (aunque si estás preocupado por la seguridad de verdad no sé qué haces con un smartphone). No porque unos sean más seguros que otros, sino porque si usas un sistema menos usado habrá menos herramientas y recursos para atacarlo. Simple matemática: a menos usuarios, menos interés tiene para los atacantes. Si además usas otra arquitectura de procesador (ARM para escritorio, por ejemplo) conseguirás con muy alta probabilidad que el malware que te envíen ni se ejecute en tu sistema.

¿Y si uso un móvil/tablet, cómo me protejo?

Virus_Android
La seguridad en el móvil o táblet es un asunto muy delicado. Primero, porque hay menos software de protección. Hay antivirus sólo en Android, pero como si no los hubiera, porque son bastante inútiles: fallan estrepitosamente a la hora de detectar malware que haya sido transformado con técnicas sencillas y conocidas.

Pero ese no es el problema real. Al fin y al cabo, puedes evitar estos virus de móvil si tienes algo de cuidado. Pero frente a otro tipo de vulnerabilidades estamos totalmente vendidos sin sistemas de detección como los que pueda haber en un ordenador normal. Fallos en las aplicaciones, en el propio sistema, a la hora de conectarse a redes WiFi que hayan sido suplantadas (cosa no muy difícil de hacer)…

Lo mejor que puedes hacer es cifrar tus datos en el móvil por si alguna vez se te pierde, pero de cualquiera de las formas asume que los móviles y tablets, de momento y salvo que seas el Pentágono y tengas versiones del sistema mejor protegidas, no son seguros.

Tampoco hagas un Jailbreak a tu dispositivo puesto que estar abriendo puertas traseras a otros programas.

Troyanos famosos

En mi epoca de universidad utilice algunos de estos virus, la verdad le tengo un cariño especial a tres de ellos, forman una época romántica en el uso de caballos de troya para jugarle broma a tus amigos, esta de más decir que ahora el uso es en su mayoría es para cometer delitos.

Netbus: se programo en Delphi por Carl-Fredrik Neikter, un programador sueco, en marzo de 1998. Entró en circulación antes que Back Orifice, fuese liberado en agosto de 1998. El autor afirmó que el programa estaba destinado a ser usado para bromas, no para irrumpir ilegalmente en los sistemas informáticos. Traducido del sueco, el nombre significa “NetPrank”. (broma en red)

Sub7: Es usado para acceder y controlar de forma remota una computadora sin el consentimiento del usuario, en donde es el usuario que mantiene en su poder al Cliente del software por medio del Servidor que permite que el sistema comprometido sea controlado de forma remota. También puede ser usado para actividades de espionajeHacking, y a veces hasta criminales o robo de información sensible. El nombre del software deriva de otro software de la misma categoría llamado NetBus cuya escritura a la inversa es suBteN en la que sustituyendo la sílaba ten por seven que formaría la palabra SubSeven.

Back Orifice: fue diseñado con una arquitectura cliente-servidor. Un pequeño y discreto programa servidor es instalado en una máquina, la cual es controlada remotamente por un programa cliente a través de una interfaz gráfica desde otro ordenador. Los dos componentes se comunican usando los protocolos de red TCP y UDP. Normalmente el programa usa el puerto 31337.

Este gran articulo fue extraído de: http://www.genbeta.com/seguridad/que-es-un-troyano-como-funciona-y-como-podemos-protegernos y me he tomado la libertad de modificarlo levemente según mi experiencia.
Otras fuentes:
 
http://es.wikipedia.org/wiki/NetBus
http://es.wikipedia.org/wiki/Back_Orifice
http://es.wikipedia.org/wiki/Sub7
 

Y tú ¿Has utilizado algún troyano o has sido
de ellos?

 

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s