SlideShare a Scribd company logo

Troyanos

Download as PPT, PDF
Conferencias FIST
Conferencias FIST
Technology
1 of 45
Troyanos y Mayo 2007 - Madrid Phishing Patrocinada por Con la colaboración de Óscar Delgado
Agenda  Introducción  Evolución del phishing tradicional  Primeros troyanos  Últimas técnicas  Inyección de código HTML  Economía del malware  ¿Cómo arreglamos esto?
Evolución del phishing
Troyanos  Los troyanos no son, desde luego, nada nuevo.  En los 70’s aparecieron los primeros troyanos que imitaban la pantalla de login del SO.  Pero desde hace unos años (2003) la profesionalización del crimen online los ha hecho resurgir como herramienta de fraude.
Troyanos  Los métodos tradicionales de phishing (SPAM, similitud y ofuscación de dominios) han ido dejando de funcionar paulatinamente.  El asunto ha sido muy metiádico y ha llegado al “gran público”.  Consecuencia: los phishers han buscado nuevas técnicas más sofisticadas: los troyanos especializados.
Troyanos bancarios  Un troyano especializado en banca electrónica captura las credenciales y las envía a un “repositorio” central controlado por el atacante.  Las credenciales capturadas incluyen el usuario, la contraseña y la ‘firma electrónica’, necesaria para realizar transferencias y otras operaciones importantes.
Primeros pasos  Los primeros casos comenzaron utilizando viejas técnicas víricas, como capturar las pulsaciones del teclado, en busca de palabras como 'password'.  Para combatirlos se empezaron a utilizar los teclados virtuales, pero...
Capturas de pantalla  …entonces los atacantes empezaron a tomar capturas de pantalla, donde se ve sobre qué letra está posicionado el cursor:  Los bancos contraatacaron de nuevo “moviendo” el teclado virtual tras cada carácter introducido.
Ocultación de la barra de direcciones  Otra técnica utilizada fue tratar de ocultar la barra de direcciones del navegador con una imagen.  Pero, curiosamente, muchos fallaban porque no tenían buena “puntería”:
Pharming  Pronto empezaron a utilizarse técnicas de pharming.  Aunque éstas se limitaban a modificar el archivo ‘hosts’. # Copyright (c) 1993-1999 Microsoft Corp. # # Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows. # 127.0.0.1 localhost 194.179.1.100 www.bancocartujano.com
BHO’s (Browser Helper Object)  Extensiones definidas por Microsoft para Internet Explorer, introducidas en 1997 en la versión 4.  Tienen forma de DLL con un API que permite acceder al DOM de la página actual y controlar la navegación.  Ejemplos de BHO’s conocidos: Acrobar Reader y Google Toolbar.
BHO’s (Browser Helper Object)  Los BHO’s no necesitan permisos especiales para su instalación (sólo de escritura en el registro).  Tienen acceso a todos los datos (en claro) enviados y recibidos por el navegador.  Resultado:  La mayoría de los troyanos bancarios actuales toman esta forma.  El teclado virtual y el cifrado de las comunicaciones son completamente inútiles.
BHO’s (Browser Helper Object)
Vectores de infección  A través de la navegación Web  Habitualmente aprovechando vulnerabilidades en los navegadores.  Redes P2P  Reclamo, el de siempre: sexo, sex, sex, sesso, geschlect.  Correo electrónico  Habitualmente camuflado como un programa legítimo: salvapantallas, juegos, etc...
Infección vía Web  Es, probablemente, la vía de infección más común.  Comprometen sitios Web e instalan en ellos el código exploit del navegador.  Utilizan vulnerabilidades de los navegadores más utilizados: IExplorer, Firefox y Opera.  El usuario, al visitar la página, provoca la ejecución del dropper.  Éste descarga el código del troyano en sí y lo ejecuta.
Infección vía Web
Ya hemos capturado uno, ¿y ahora qué hacemos?
Análisis del binario  ¿Cómo analizamos un binario?  Básicamente dos enfoques:  Análisis estático: desensamblado de código.  Análisis dinámico: estudio del comportamiento del binario.
Análisis estático  Implica un proceso de ingeniería inversa sobre el código, para estudiar detalladamente qué hace y cómo lo hace.  Es código final, luego sólo se puede obtener código ensamblador (¿quién recuerda ensamblador?).  Es un proceso laborioso, complicado y que consume muchísimo tiempo.
Análisis estático  Problemas de este enfoque:  Casi todo el malware utiliza ya técnicas anti-depuración y anti-desensamblado, lo que complica aún más el análisis.  Es un proceso manual, ¿imposible? de automatizar. Esto implica:  Dificultad para las empresas de seguridad: escasez de recursos humanos de calidad y/o con experiencia.  El enorme volumen de malware provoca que sea imposible el análisis incluso para las grandes compañías antivirus.
Análisis estático  Más problemas de este enfoque:  Dada la naturaleza de los troyanos, existe una urgencia extrema en llevar a cabo el análisis (o un pre-análisis, al menos).  Ventajas:  En ocasiones, es la única manera de conocer el comportamiento del troyano en su totalidad y con exactitud.
Análisis dinámico  Se trata de estudiar el comportamiento del troyano, ejecutándolo en un entorno controlado.  Se analizan todos los cambios producidos en:  El sistema de ficheros: archivos creados, borrados, modificados, etc…  Nuevos procesos creados por el troyano.  El registro: en entornos Windows.  Tráfico de red: todo el tráfico producido y/o recibido por el troyano.
Análisis dinámico  Inconvenientes del enfoque:  Es un estudio parcial, que no permite extraer conclusiones definitivas ni completas.  Cada vez más troyanos incluyen técnicas de detección de entornos virtuales.  En ese caso simplemente no actúan o cambian su comportamiento.  En ocasiones hay dificultades para provocar el comportamiento malicioso:  Si el troyano no tiene actividad, ¿cuenta con técnicas anti-virtualización o no se dan las condiciones adecuadas (URL correcta, por ejemplo)?
Análisis dinámico  Ventajas del enfoque:  Es mucho más rápido que el análisis estático.  Requiere muchos menos conocimientos, luego puede ser realizado por personal menos cualificado.  En condiciones de presión por escasez de tiempo, puede ser la única opción viable.
Inyección de código HTML  Técnica más reciente en troyanos que toman la forma de BHO’s.  Consiste en manipular el código HTML de la página Web antes de que ésta sea presentada al usuario.
Inyección de código HTML <td class="clave_acceso_pin" width="95">Clave de acceso</td> <td width="60" ><input NAME="USER" TYPE="text" SIZE="10" MAXLENGTH="10" value="" tabindex="1"> </td> <td class="clave_acceso_pin">Código (PIN)</td> <td><input NAME="PIN" TYPE="password" SIZE="10" value="" tabindex="2“ onfocus="javascript:foco_pin('PIN','LOGIN')"></td> <td><img src="../3099/img/flecha.png" alt="flecha" title="usa el teclado virtual"></td> <td rowspan="2" align="left"> <SCRIPT LANGUAGE="JavaScript" type="text/javascript"> teclado("PIN",'LOGIN'); </SCRIPT></td>
Inyección de código HTML <td class="clave_acceso_pin" width="95">Clave de acceso</td> <td width="60" ><input NAME="USER" TYPE="text" SIZE="10" MAXLENGTH="10" value="" tabindex="1"> </td> <td class="clave_acceso_pin">Código (PIN)</td> <td><input NAME="PIN" TYPE="password" SIZE="10" value="" tabindex="2“ onfocus="javascript:foco_pin('PIN','LOGIN')"></td> <td><input NAME=“Firma" TYPE="password" SIZE="10" value="" tabindex="2“ onfocus=""></td> <td><img src="../3099/img/flecha.png" alt="flecha" title="usa el teclado virtual"></td> <td rowspan="2" align="left"> <SCRIPT LANGUAGE="JavaScript" type="text/javascript"> teclado("PIN",'LOGIN'); </SCRIPT></td>
Inyección de código HTML  ¡Indetectable para un usuario no experto!  El ‘candadito’ está perfectamente cerrado:  El certificado presentado por el banco es legítimo.  La URL del servidor es correcta.  El origen de los datos no ha sido manipulado, sólo su presentación al usuario.
Inyección de código HTML  ¿Dónde reside el problema?  Los navegadores no son confiables.  Los datos se manipulan en capa de aplicación: una sesión SSL no es garantía de seguridad.  El interfaz BHO no parece haber sido una buena idea por parte de Microsoft.
The Killer Trojan  Armagedón:  Un troyano que utilice inyección de código HTML.  Muestre los mensajes en correcto castellano, claro está.  Que no pida la clave de firma en la pantalla de login.  O mejor, que no la pida en absoluto y espere a que se utilice para capturarla.
Economía del malware  Hace tiempo que el malware dejó de ser cosas de freaks o hackers en busca de reconocimiento.  Hoy es un negocio muy lucrativo y, como tal, el marketing también ha llegado al fraude online.
Economía del malware Producto garantizado: Producto garantizado: Resultado del • ¡Vamos de compras! Resultado del análisis en VirusTotal análisis en VirusTotal Nombre Descripción Precio Típico keylogger. Con técnicas de ocultación; Keylogger Teller 2.0 40$ bastante completo. 500$, pero los cien Webmoney Trojan Captura cuentas de Webmoney. primeros al precio especial de 400$ (!) Un ejecutable 5$, ¡Una ganga! Otro troyano para Webmoney pero WMT-spy actualización 5$, el mucho más barato. generador 10$. Troyano muy completo del que hablaremos más Limbo Trojan 500$ adelante
¿Cómo se paga?  La forma más común para comprar estos ‘productos’ es contactar vía ICQ con el vendedor.  Una vez de acuerdo, el comprador paga, el 80% de las veces a través de WebMoney.  De hecho, a menudos los precios se anuncian en WMZ, la moneda oficial de WebMoney, equivalente a 1 dólar USA.
¿Cómo arreglamos esto?
Contramedidas actuales  Los consejos habituales a los usuarios ya no son garantía de seguridad:  “Compruebe el candado del navegador”  “No pinche en ningún enlace, escriba directamente la URL en el navegador”  “Mantenga su antivirus actualizado”  Aunque, por supuesto, no deben dejar de darse ni de seguirse.
Tarjeta de Coordenadas  Los phishers se adaptan a todo: piden una serie de coordenadas futuras
DNIe  Es como los billetes de 500€: ¿alguien ha visto uno?  ¿Cuánto queda para que todo el mundo lo tenga? (junto con el lector)
Tokens OTP  Alguna entidad ha empezado a ofrecerlos para su banca de empresas  Un pseudo-token OTP con teléfono móvil para la banca de particulares  Es difícil que se extienda su uso porque todavía son dispositivos caros  Quizás sea mejor que el DNIe solucione la papeleta
¿Son estas medidas definitivas?  Las medidas anteriores elevan el nivel de seguridad, pero….  …siguen siendo vulnerables a un ataque de suplantación en tiempo real.  Eso sí, el ataque podría ser detectado mucho más rápidamente  Afortunadamente, a día de hoy no se conoce ningún troyano que lo haga todavía, ¡pero no tardarán!
Resumen  ¿Por qué estamos en esta situación?  Un PC es un entorno inherentemente inseguro  Todo el mundo espera que otros soluciones el problema:  El gobierno pide al sector financiero que asuma su parte de responsabilidad  Y los bancos piden a los usuarios que mantengan sus PC’s impolutos, y esperan que el gobierno acabe de desplegar el DNIe
Resumen  Los troyanos han vuelto para quedarse  Irán adaptándose a cada nuevo sistema de autenticación que se proponga  Todas los esquemas de autenticación son vulnerables a un troyano con ciertos permisos instalado en el PC del cliente
Resumen  El canal Internet ha provocado que la autenticación se realice de forma exclusiva en el front-end (el PC del cliente)  En 1984 el primer banco online, Bank of Scotland, exigía especificar por escrito las cuentas a las que se podían realizar transferencias.  Existe la sensación de que las defensas exclusivamente tecnológicas no dan más de sí (dado el entorno operativo de los usuarios)
Resumen  A largo plazo, la solución tendría que venir por aumentar la resistencia del sistema (detección temprana del fraude, limitar el riesgo, retrasar las transferencias a ciertos paises) frente a su integridad (hay que contar con que siempre habrá un cierto número de cuentas comprometidas)  ¡Sin abandonar las defensas tecnológicas, por supuesto!
¡Gracias por vuestra atención! ¿Preguntas?
Creative Commons Attribution-NoDerivs 2.0 You are free: •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

Recommended

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Hackeo
HackeoHackeo
Hackeoseminario4
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014Jose Luis Torrente
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Nociones Sobre Seguridad En Internet
Nociones Sobre Seguridad En InternetNociones Sobre Seguridad En Internet
Nociones Sobre Seguridad En InterneteLearningGchu
 
Virus, antivirus, spyware y hacker
Virus, antivirus, spyware y hackerVirus, antivirus, spyware y hacker
Virus, antivirus, spyware y hackerMigue Martínez
 
Castellano
CastellanoCastellano
CastellanoCristhian Iván Advíncula Villegas
 
Guía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGuía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGustavo Damián Cucuzza
 

Recommended

Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Hackeo
HackeoHackeo
Hackeoseminario4
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014Jose Luis Torrente
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Nociones Sobre Seguridad En Internet
Nociones Sobre Seguridad En InternetNociones Sobre Seguridad En Internet
Nociones Sobre Seguridad En InterneteLearningGchu
 
Virus, antivirus, spyware y hacker
Virus, antivirus, spyware y hackerVirus, antivirus, spyware y hacker
Virus, antivirus, spyware y hackerMigue Martínez
 
Castellano
CastellanoCastellano
CastellanoCristhian Iván Advíncula Villegas
 
Guía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGuía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGustavo Damián Cucuzza
 
sexto conalep 12
sexto conalep 12sexto conalep 12
sexto conalep 12skavid666
 
Resumen Castellano
Resumen CastellanoResumen Castellano
Resumen CastellanoCristhian Iván Advíncula Villegas
 
Internet de las cosas
Internet de las cosasInternet de las cosas
Internet de las cosastico2llorente
 
Castellano
CastellanoCastellano
CastellanoCristhian Iván Advíncula Villegas
 
Castellano
CastellanoCastellano
CastellanoCristhian Iván Advíncula Villegas
 
Internet de las cosas
Internet de las cosasInternet de las cosas
Internet de las cosastico2llorente
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidadpachiuss
 
Ataquesyvulnerabilidad
AtaquesyvulnerabilidadAtaquesyvulnerabilidad
AtaquesyvulnerabilidadGregorio Velasco Parra
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagosremyor09
 
Riesgo Informático
Riesgo InformáticoRiesgo Informático
Riesgo Informáticomoisesruiz26
 
Terror y delitos informaticos
Terror y delitos informaticosTerror y delitos informaticos
Terror y delitos informaticosmiguelmartinezz
 
Ing social
Ing socialIng social
Ing socialAlejandra Titila
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoxavazquez
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondoAlan Resendiz
 
Crackers y hackers
Crackers y hackersCrackers y hackers
Crackers y hackersKarol Pardo
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoAraceli Rodriguez
 
.Triptico
.Triptico.Triptico
.Tripticoricardo2209
 
as
asas
asJesus Celestino
 
Troyanos
TroyanosTroyanos
TroyanosAlex Avila
 
Troyanos
TroyanosTroyanos
Troyanosparedespaul
 

More Related Content

What's hot

sexto conalep 12
sexto conalep 12sexto conalep 12
sexto conalep 12skavid666
 
Internet de las cosas
Internet de las cosasInternet de las cosas
Internet de las cosastico2llorente
 
Internet de las cosas
Internet de las cosasInternet de las cosas
Internet de las cosastico2llorente
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidadpachiuss
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagosremyor09
 
Riesgo Informático
Riesgo InformáticoRiesgo Informático
Riesgo Informáticomoisesruiz26
 
Terror y delitos informaticos
Terror y delitos informaticosTerror y delitos informaticos
Terror y delitos informaticosmiguelmartinezz
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoxavazquez
 
Crackers y hackers
Crackers y hackersCrackers y hackers
Crackers y hackersKarol Pardo
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoAraceli Rodriguez
 

What's hot (20)

sexto conalep 12
sexto conalep 12sexto conalep 12
sexto conalep 12
 
Resumen Castellano
Resumen CastellanoResumen Castellano
Resumen Castellano
 
Internet de las cosas
Internet de las cosasInternet de las cosas
Internet de las cosas
 
Castellano
CastellanoCastellano
Castellano
 
Castellano
CastellanoCastellano
Castellano
 
Internet de las cosas
Internet de las cosasInternet de las cosas
Internet de las cosas
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidad
 
Ataquesyvulnerabilidad
AtaquesyvulnerabilidadAtaquesyvulnerabilidad
Ataquesyvulnerabilidad
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una Intrusion
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagos
 
Riesgo Informático
Riesgo InformáticoRiesgo Informático
Riesgo Informático
 
Terror y delitos informaticos
Terror y delitos informaticosTerror y delitos informaticos
Terror y delitos informaticos
 
Ing social
Ing socialIng social
Ing social
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
 
Xss a fondo
Xss a fondoXss a fondo
Xss a fondo
 
Crackers y hackers
Crackers y hackersCrackers y hackers
Crackers y hackers
 
Websecurify an dwebgoat terminado
Websecurify an dwebgoat terminadoWebsecurify an dwebgoat terminado
Websecurify an dwebgoat terminado
 
.Triptico
.Triptico.Triptico
.Triptico
 
as
asas
as
 

Viewers also liked

Troyanos informáticos , spyware y su prevención
Troyanos informáticos , spyware y su prevenciónTroyanos informáticos , spyware y su prevención
Troyanos informáticos , spyware y su prevenciónitzel ramos
 
Seguridad Informatica - Ejemplo de Ataque con troyanos
Seguridad Informatica - Ejemplo de Ataque con troyanosSeguridad Informatica - Ejemplo de Ataque con troyanos
Seguridad Informatica - Ejemplo de Ataque con troyanosPedro Julio Colorado Angel
 

Viewers also liked (7)

Troyanos
TroyanosTroyanos
Troyanos
 
Troyanos
TroyanosTroyanos
Troyanos
 
Virus Script
Virus ScriptVirus Script
Virus Script
 
Virus troyano
Virus troyanoVirus troyano
Virus troyano
 
Troyanos informáticos , spyware y su prevención
Troyanos informáticos , spyware y su prevenciónTroyanos informáticos , spyware y su prevención
Troyanos informáticos , spyware y su prevención
 
Virus troyano
Virus troyanoVirus troyano
Virus troyano
 
Seguridad Informatica - Ejemplo de Ataque con troyanos
Seguridad Informatica - Ejemplo de Ataque con troyanosSeguridad Informatica - Ejemplo de Ataque con troyanos
Seguridad Informatica - Ejemplo de Ataque con troyanos
 

Similar to Troyanos

Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeoseminario4
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalwareEventos Creativos
 
Infecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosInfecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosRamon
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)campus party
 
Antivirus
Antivirus Antivirus
Antivirus Laura Zt
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Seguridad en informatica
Seguridad en informaticaSeguridad en informatica
Seguridad en informaticajaimotomagic
 
Presentación3
Presentación3Presentación3
Presentación3Sofcas
 
Presentación3 de Mayra Chiti y Sofia Castellanos
Presentación3 de Mayra Chiti y Sofia CastellanosPresentación3 de Mayra Chiti y Sofia Castellanos
Presentación3 de Mayra Chiti y Sofia Castellanosmayracm
 
Presentación3
Presentación3Presentación3
Presentación3Sofcas
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASFIDOMULTRAXD
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 

Similar to Troyanos (20)

Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeo
 
Pc zombie
Pc zombiePc zombie
Pc zombie
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
Infecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosInfecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otros
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)X implementecion de botnet mauricio y osnaider (seg. y redes)
X implementecion de botnet mauricio y osnaider (seg. y redes)
 
Antivirus
Antivirus Antivirus
Antivirus
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
Seguridad en informatica
Seguridad en informaticaSeguridad en informatica
Seguridad en informatica
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Presentación3
Presentación3Presentación3
Presentación3
 
Presentación3 de Mayra Chiti y Sofia Castellanos
Presentación3 de Mayra Chiti y Sofia CastellanosPresentación3 de Mayra Chiti y Sofia Castellanos
Presentación3 de Mayra Chiti y Sofia Castellanos
 
Presentación3
Presentación3Presentación3
Presentación3
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
 
Hackeando con un troyano
Hackeando con un troyanoHackeando con un troyano
Hackeando con un troyano
 
Riesgos de la información electronica
Riesgos de la información electronicaRiesgos de la información electronica
Riesgos de la información electronica
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 

More from Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

More from Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Recently uploaded

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 

Recently uploaded (11)

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 

Troyanos

  • 1. Troyanos y Mayo 2007 - Madrid Phishing Patrocinada por Con la colaboración de Óscar Delgado
  • 2. Agenda  Introducción  Evolución del phishing tradicional  Primeros troyanos  Últimas técnicas  Inyección de código HTML  Economía del malware  ¿Cómo arreglamos esto?
  • 4. Troyanos  Los troyanos no son, desde luego, nada nuevo.  En los 70’s aparecieron los primeros troyanos que imitaban la pantalla de login del SO.  Pero desde hace unos años (2003) la profesionalización del crimen online los ha hecho resurgir como herramienta de fraude.
  • 5. Troyanos  Los métodos tradicionales de phishing (SPAM, similitud y ofuscación de dominios) han ido dejando de funcionar paulatinamente.  El asunto ha sido muy metiádico y ha llegado al “gran público”.  Consecuencia: los phishers han buscado nuevas técnicas más sofisticadas: los troyanos especializados.
  • 6. Troyanos bancarios  Un troyano especializado en banca electrónica captura las credenciales y las envía a un “repositorio” central controlado por el atacante.  Las credenciales capturadas incluyen el usuario, la contraseña y la ‘firma electrónica’, necesaria para realizar transferencias y otras operaciones importantes.
  • 7. Primeros pasos  Los primeros casos comenzaron utilizando viejas técnicas víricas, como capturar las pulsaciones del teclado, en busca de palabras como 'password'.  Para combatirlos se empezaron a utilizar los teclados virtuales, pero...
  • 8. Capturas de pantalla  …entonces los atacantes empezaron a tomar capturas de pantalla, donde se ve sobre qué letra está posicionado el cursor:  Los bancos contraatacaron de nuevo “moviendo” el teclado virtual tras cada carácter introducido.
  • 9. Ocultación de la barra de direcciones  Otra técnica utilizada fue tratar de ocultar la barra de direcciones del navegador con una imagen.  Pero, curiosamente, muchos fallaban porque no tenían buena “puntería”:
  • 10. Pharming  Pronto empezaron a utilizarse técnicas de pharming.  Aunque éstas se limitaban a modificar el archivo ‘hosts’. # Copyright (c) 1993-1999 Microsoft Corp. # # Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows. # 127.0.0.1 localhost 194.179.1.100 www.bancocartujano.com
  • 11. BHO’s (Browser Helper Object)  Extensiones definidas por Microsoft para Internet Explorer, introducidas en 1997 en la versión 4.  Tienen forma de DLL con un API que permite acceder al DOM de la página actual y controlar la navegación.  Ejemplos de BHO’s conocidos: Acrobar Reader y Google Toolbar.
  • 12. BHO’s (Browser Helper Object)  Los BHO’s no necesitan permisos especiales para su instalación (sólo de escritura en el registro).  Tienen acceso a todos los datos (en claro) enviados y recibidos por el navegador.  Resultado:  La mayoría de los troyanos bancarios actuales toman esta forma.  El teclado virtual y el cifrado de las comunicaciones son completamente inútiles.
  • 14. Vectores de infección  A través de la navegación Web  Habitualmente aprovechando vulnerabilidades en los navegadores.  Redes P2P  Reclamo, el de siempre: sexo, sex, sex, sesso, geschlect.  Correo electrónico  Habitualmente camuflado como un programa legítimo: salvapantallas, juegos, etc...
  • 15. Infección vía Web  Es, probablemente, la vía de infección más común.  Comprometen sitios Web e instalan en ellos el código exploit del navegador.  Utilizan vulnerabilidades de los navegadores más utilizados: IExplorer, Firefox y Opera.  El usuario, al visitar la página, provoca la ejecución del dropper.  Éste descarga el código del troyano en sí y lo ejecuta.
  • 17. Ya hemos capturado uno, ¿y ahora qué hacemos?
  • 18. Análisis del binario  ¿Cómo analizamos un binario?  Básicamente dos enfoques:  Análisis estático: desensamblado de código.  Análisis dinámico: estudio del comportamiento del binario.
  • 19. Análisis estático  Implica un proceso de ingeniería inversa sobre el código, para estudiar detalladamente qué hace y cómo lo hace.  Es código final, luego sólo se puede obtener código ensamblador (¿quién recuerda ensamblador?).  Es un proceso laborioso, complicado y que consume muchísimo tiempo.
  • 20. Análisis estático  Problemas de este enfoque:  Casi todo el malware utiliza ya técnicas anti-depuración y anti-desensamblado, lo que complica aún más el análisis.  Es un proceso manual, ¿imposible? de automatizar. Esto implica:  Dificultad para las empresas de seguridad: escasez de recursos humanos de calidad y/o con experiencia.  El enorme volumen de malware provoca que sea imposible el análisis incluso para las grandes compañías antivirus.
  • 21. Análisis estático  Más problemas de este enfoque:  Dada la naturaleza de los troyanos, existe una urgencia extrema en llevar a cabo el análisis (o un pre-análisis, al menos).  Ventajas:  En ocasiones, es la única manera de conocer el comportamiento del troyano en su totalidad y con exactitud.
  • 22. Análisis dinámico  Se trata de estudiar el comportamiento del troyano, ejecutándolo en un entorno controlado.  Se analizan todos los cambios producidos en:  El sistema de ficheros: archivos creados, borrados, modificados, etc…  Nuevos procesos creados por el troyano.  El registro: en entornos Windows.  Tráfico de red: todo el tráfico producido y/o recibido por el troyano.
  • 23. Análisis dinámico  Inconvenientes del enfoque:  Es un estudio parcial, que no permite extraer conclusiones definitivas ni completas.  Cada vez más troyanos incluyen técnicas de detección de entornos virtuales.  En ese caso simplemente no actúan o cambian su comportamiento.  En ocasiones hay dificultades para provocar el comportamiento malicioso:  Si el troyano no tiene actividad, ¿cuenta con técnicas anti-virtualización o no se dan las condiciones adecuadas (URL correcta, por ejemplo)?
  • 24. Análisis dinámico  Ventajas del enfoque:  Es mucho más rápido que el análisis estático.  Requiere muchos menos conocimientos, luego puede ser realizado por personal menos cualificado.  En condiciones de presión por escasez de tiempo, puede ser la única opción viable.
  • 25. Inyección de código HTML  Técnica más reciente en troyanos que toman la forma de BHO’s.  Consiste en manipular el código HTML de la página Web antes de que ésta sea presentada al usuario.
  • 26. Inyección de código HTML <td class="clave_acceso_pin" width="95">Clave de acceso</td> <td width="60" ><input NAME="USER" TYPE="text" SIZE="10" MAXLENGTH="10" value="" tabindex="1"> </td> <td class="clave_acceso_pin">Código (PIN)</td> <td><input NAME="PIN" TYPE="password" SIZE="10" value="" tabindex="2“ onfocus="javascript:foco_pin('PIN','LOGIN')"></td> <td><img src="../3099/img/flecha.png" alt="flecha" title="usa el teclado virtual"></td> <td rowspan="2" align="left"> <SCRIPT LANGUAGE="JavaScript" type="text/javascript"> teclado("PIN",'LOGIN'); </SCRIPT></td>
  • 27. Inyección de código HTML <td class="clave_acceso_pin" width="95">Clave de acceso</td> <td width="60" ><input NAME="USER" TYPE="text" SIZE="10" MAXLENGTH="10" value="" tabindex="1"> </td> <td class="clave_acceso_pin">Código (PIN)</td> <td><input NAME="PIN" TYPE="password" SIZE="10" value="" tabindex="2“ onfocus="javascript:foco_pin('PIN','LOGIN')"></td> <td><input NAME=“Firma" TYPE="password" SIZE="10" value="" tabindex="2“ onfocus=""></td> <td><img src="../3099/img/flecha.png" alt="flecha" title="usa el teclado virtual"></td> <td rowspan="2" align="left"> <SCRIPT LANGUAGE="JavaScript" type="text/javascript"> teclado("PIN",'LOGIN'); </SCRIPT></td>
  • 28. Inyección de código HTML  ¡Indetectable para un usuario no experto!  El ‘candadito’ está perfectamente cerrado:  El certificado presentado por el banco es legítimo.  La URL del servidor es correcta.  El origen de los datos no ha sido manipulado, sólo su presentación al usuario.
  • 29. Inyección de código HTML  ¿Dónde reside el problema?  Los navegadores no son confiables.  Los datos se manipulan en capa de aplicación: una sesión SSL no es garantía de seguridad.  El interfaz BHO no parece haber sido una buena idea por parte de Microsoft.
  • 30. The Killer Trojan  Armagedón:  Un troyano que utilice inyección de código HTML.  Muestre los mensajes en correcto castellano, claro está.  Que no pida la clave de firma en la pantalla de login.  O mejor, que no la pida en absoluto y espere a que se utilice para capturarla.
  • 31. Economía del malware  Hace tiempo que el malware dejó de ser cosas de freaks o hackers en busca de reconocimiento.  Hoy es un negocio muy lucrativo y, como tal, el marketing también ha llegado al fraude online.
  • 32. Economía del malware Producto garantizado: Producto garantizado: Resultado del • ¡Vamos de compras! Resultado del análisis en VirusTotal análisis en VirusTotal Nombre Descripción Precio Típico keylogger. Con técnicas de ocultación; Keylogger Teller 2.0 40$ bastante completo. 500$, pero los cien Webmoney Trojan Captura cuentas de Webmoney. primeros al precio especial de 400$ (!) Un ejecutable 5$, ¡Una ganga! Otro troyano para Webmoney pero WMT-spy actualización 5$, el mucho más barato. generador 10$. Troyano muy completo del que hablaremos más Limbo Trojan 500$ adelante
  • 33. ¿Cómo se paga?  La forma más común para comprar estos ‘productos’ es contactar vía ICQ con el vendedor.  Una vez de acuerdo, el comprador paga, el 80% de las veces a través de WebMoney.  De hecho, a menudos los precios se anuncian en WMZ, la moneda oficial de WebMoney, equivalente a 1 dólar USA.
  • 35. Contramedidas actuales  Los consejos habituales a los usuarios ya no son garantía de seguridad:  “Compruebe el candado del navegador”  “No pinche en ningún enlace, escriba directamente la URL en el navegador”  “Mantenga su antivirus actualizado”  Aunque, por supuesto, no deben dejar de darse ni de seguirse.
  • 36. Tarjeta de Coordenadas  Los phishers se adaptan a todo: piden una serie de coordenadas futuras
  • 37. DNIe  Es como los billetes de 500€: ¿alguien ha visto uno?  ¿Cuánto queda para que todo el mundo lo tenga? (junto con el lector)
  • 38. Tokens OTP  Alguna entidad ha empezado a ofrecerlos para su banca de empresas  Un pseudo-token OTP con teléfono móvil para la banca de particulares  Es difícil que se extienda su uso porque todavía son dispositivos caros  Quizás sea mejor que el DNIe solucione la papeleta
  • 39. ¿Son estas medidas definitivas?  Las medidas anteriores elevan el nivel de seguridad, pero….  …siguen siendo vulnerables a un ataque de suplantación en tiempo real.  Eso sí, el ataque podría ser detectado mucho más rápidamente  Afortunadamente, a día de hoy no se conoce ningún troyano que lo haga todavía, ¡pero no tardarán!
  • 40. Resumen  ¿Por qué estamos en esta situación?  Un PC es un entorno inherentemente inseguro  Todo el mundo espera que otros soluciones el problema:  El gobierno pide al sector financiero que asuma su parte de responsabilidad  Y los bancos piden a los usuarios que mantengan sus PC’s impolutos, y esperan que el gobierno acabe de desplegar el DNIe
  • 41. Resumen  Los troyanos han vuelto para quedarse  Irán adaptándose a cada nuevo sistema de autenticación que se proponga  Todas los esquemas de autenticación son vulnerables a un troyano con ciertos permisos instalado en el PC del cliente
  • 42. Resumen  El canal Internet ha provocado que la autenticación se realice de forma exclusiva en el front-end (el PC del cliente)  En 1984 el primer banco online, Bank of Scotland, exigía especificar por escrito las cuentas a las que se podían realizar transferencias.  Existe la sensación de que las defensas exclusivamente tecnológicas no dan más de sí (dado el entorno operativo de los usuarios)
  • 43. Resumen  A largo plazo, la solución tendría que venir por aumentar la resistencia del sistema (detección temprana del fraude, limitar el riesgo, retrasar las transferencias a ciertos paises) frente a su integridad (hay que contar con que siempre habrá un cierto número de cuentas comprometidas)  ¡Sin abandonar las defensas tecnológicas, por supuesto!
  • 44. ¡Gracias por vuestra atención! ¿Preguntas?
  • 45. Creative Commons Attribution-NoDerivs 2.0 You are free: •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.