sábado, junio 25, 2016

10 años después descubres que hay que tapar la Webcam #malware #privacidad

Hace 11 años, exactamente en el año 2005 nació el popular RAT (Remote Administration Tool) Poison Ivy. Las herramientas RAT son un tipo de malware creado especialmente para controlar totalmente un equipo desde una consola centralizada. Su evolución natural les llevaría a convertirse en las populares Botnets de equipos Zombie, donde desde un Command & Control Panel se llegan a gestionar millones de equipos infectados. En el año 2005, cuando aparece la primera versión de Poison Ivy, se empiezan a extender las técnicas de Reverse Shell, o lo que es lo mismo, que el llamado "Server" que se instala en la máquina infectada, es quien realiza la conexión al panel de control para recibir las órdenes y no al revés, como se hacía en malware clásico anteriormente.

Figura 1: 10 años después descubres que hay que tapar la webcam

Poison Ivy fue muy popular durante los años en los que  estuvo en plena evolución, hasta llegar al año 2008 donde apareció su última release, la versión 2.3.2. Después vendrían muchos más que copiarían la mayoría de sus funciones. Entre las muchas que traía la herramienta Poison Ivy estaba un módulo de vigilancia que permitía al atacante activar tu Webcam y grabarte en tu intimidad - y este no fue el primero que lo hizo -. Aquí tenéis una captura hecha por la webcam de una persona infectada con Poison Ivy 2.3.2, del año 2008.

Figura 2: Webcam capture en Poison Ivy versión del año 2008

El primer día que yo descubrí que con herramientas como Poison Ivy era tan fácil para un atacante activar tu Webcam la tapé. Desde hace más de una década llevo la Webcam de todos mis equipos tapados, lo que me generó que mucha gente me preguntara desde ese momento por qué lo hacía. Las nuevas herramientas RAT que fueron siguiendo la estela de Poison Ivy fueron añadiendo todas la misma función, y ver ya esa opción entre la lista de posibilidades no sorprende a nadie de este mundo. En la imagen IndSocket y en este otro artículo tienes Incognito RAT que también funciona con equipos Mac OS X infectados e incluso se controlaba desde un iPhone.

Figura 3: Opción de Webcam Capture en IdnSocket RaT

En el año 2011, ya con mi blog abierto, descubrí la existencia de un foro en el que la gente se dedicaba a infectar personas con RATs, capturarles con la Webcam y compartir el material con todos. Las fotos eran brutales, e incluso había vídeos subidos a Youtube - hoy retirados - que mostraban el proceso completo. Si te aburres, abre Youtube y busca vídeos y tutoriales de RAT. Te sorprenderá ver la gran cantidad de esta familia de malware que existe con la capacidad de grabarte en tu casa y hemos visto que hasta vecinos lo usaban para espiar a sus víctimas.

A partir de ahí, sistemáticamente he ido explicando en multitud de ocasiones el riesgo de no taparse la Webcam, además de explicar que el número de fallos que aparecen y que pueden permitir a un atacante infectarte para activar la Webcam es alto. En el año 2011 un bug en Adobe permitía hacer lo mismo.


Figura 5: Security Innovation Day 2014. En esta charla hacemos la demo de
infectar a la víctima con un documento Excel y capturar la webcam con Metasploit

En muchas demostraciones, como en el evento de Creo en Internet en el año 2011 o en el Security Innovation Day 2014, he hecho demos con malware que infecta el equipo y activa la Webcam usando Metasploit, que tiene módulos para eso desde hace infinidad de tiempo, e incluso algún ciberespía ruso ha salido retratado en un proceso de doxing con el que le han activado hasta la webcam de su casa - con sus cortinas último nivel de moda -.

Algunos creen que las Webcam con las luces son más que suficientes, porque si se enciende la luz lo ves, pero incluso hay muchos casos que han demostrado cómo es posible llegar a encender la Webcam sin encender la luz. Al final si hay software de por medio hay posibilidad de que haya un bug para saltarse el proceso.
Otros creen que por tener Linux ya no es necesario tapar la Webcam como si el software fuera diferente en ellos. Lo curioso es que hace años, pudimos ver ya documentos de la NSA que recomendaban a todos los miembros del gobierno que taparan la webcam y el micrófono para evitar este tipo de espionaje.

Figura 8: Equipo de Moxie Marlinspike en Twitter con la Webcam tapada

Entre los hackers esto es muy común desde hace años y en esta foto tomada al equipo de Moxie Marlinspike cuando era responsable de seguridad de Twitter se podía ver que él hacía lo mismo con  la Webcam de su Mac OS X.

Figura 9: Equipo MacBook de Mark Zuckerberg con la Webcam y el micrófono tapado

Ahora la gente ha visto que Mark Zuckerberg también tapa la webcam y el micrófono de su MacBook y ha vuelto la gente a preguntarse si será excesivo o no hacer esto con su equipo, tablet y dispositivo móvil, que el malware para Android también puede hacer estas cosas.

Figura 10: El iPatch de Latch que tapa mi Webcam

Yo llevo mucho tiempo con la mía tapada, e incluso regalamos para los eventos el popular iPatch con Latch para los asistentes, pero tú eres libre de hacer lo que quieras. Eso sí, "Si no tapas tu Webcam, ponte sexy para salir en Internet".

Saludos Malignos!

12 comentarios:

  1. Y qué recomiendas hacer con el móvil y la tablet?

    ResponderEliminar
  2. Jo, pues podiais regalar el ipatch con los libros de 0xword... Aparte del plástico de burbujas, claro. Best gift ever

    ResponderEliminar
  3. A lo que no se le da tanta importancia ahora mismo es al microfono y creo que es mucho mas grave. De hecho, se intenta potenciar el uso de "asistentes de voz" hasta el punto de que todos los grandes están sacando el suyo (Cortana, Siri, Google...). Además, evitar el espionaje mediante microfono no es tan simple como por la webcam, ya que la sensibilidad del microfono a las vibraciones sigue haciendo que funcione por mucha pegatina que le pongas.

    ResponderEliminar
  4. Existe alguna manera tecnicamente SIMPLE o mas o menos simple de saber a ciencia cierta si tiengo algun RAT o no en OSX ?

    ResponderEliminar
  5. Para el microfono, basta con poner un mini jack de micro sin cables o uno viejo con los cables bien cortados. Para los portatiles van muy bien los que estan a escuadra, por no sobresalir y asi no molestar

    ResponderEliminar
  6. Para el microfono, basta con poner un mini jack de micro sin cables o uno viejo con los cables bien cortados. Para los portatiles van muy bien los que estan a escuadra, por no sobresalir y asi no molestar

    ResponderEliminar
  7. Me parece genial lo de tapar la webcam, sí, pero como bien dijo alguien por aquí, y es algo que le repito a todo el mundo que lleva un trozo de mierda la lente para taparla, que es ¿Qué pasa con el micrófono? Me parece en muchas ocasiones mucho más peligroso y no hay forma de taparlo ...

    Lo que comentan por ahí del minijack, no lo veo válido, o al menos para los portátiles que han pasado por mis manos (que no han sido pocos), pues desde software se puede seleccionar si quieres utilizar el micro integrado o el que está conectado externamente (que realmente no existe).

    El que nos quiera joder lo va a hacer de cualquiera de las formas, así que en mi opinión veo tontería tapar la cámara a no ser que te dediques a hacer sabe dios que cosas ante ella ...

    ResponderEliminar
  8. y bueno si ya tienes en tu PC un rat que te activa la camara o micro entonces probablemente hara otras cosillas y mas serias, como robarte contraseñas, documentos, etc. el punto es que ya estara tu PC comprometida y tus defensas por el suelo. tapar la camara y micro ? pues ok que no quieres que te vean ni escuchen pero lo grave grave es que ya esta tu PC vendida. no se me parece mas una cosa anecdotica tapar algo cuando lo demas ya cayo.

    ResponderEliminar
  9. A todo esto... Cuando éste tipo de software activa la cámara, es capaz de inhabilitar el led que acostumbra a acompañarlas para indicar que está encendida? Gracias.

    ResponderEliminar
  10. Tengo un android con la cam frontal tapada. Pero tengo una app que x si se me pierde o me lo roban puedo grabar audio y sacar fotos remotamente, la pregunta seria, tapar todas las camaras?

    ResponderEliminar
  11. Lo que tendrian que hacer los fabricantes de webcams, portatiles, etc es dotar a estos dispositivos de algo tan sencillo como un interruptor físico ... y adios hackers.

    ResponderEliminar