martes, octubre 28, 2014

Descargar ejecutables de Deep Web puede ser peligroso

El título bien podría ser "descargarse ejecutables desde cualquier red puede ser peligroso", pues permitir a un programa que realice acciones en tu equipo no es buena idea si no confías mucho en su procedencia, pero cuando conoces su procedencia pero lo descargas desde una red que puede tener un esquema de Man in the middle - uno de los ataques de red más comunes - esto puede ser aún más peligroso aún. En el caso de la Deep Web, en concreto en la Red TOR, tanto los nodos de entrada como los nodos de salida mantienen un esquema de Man in the middle entre el cliente y el servidor, por lo que si uno de ellos se vuelve malicioso, podría ser muy peligroso.

Figura 1: Descargar ficheros desde un nodo TOR malicioso es peligroso

Cuando estuvimos haciendo el trabajo de Owning Bad Guys {and Mafia} Using JavaScript Botnets utilizamos un servidor Proxy anónimo como esquema de Man in the middle, pero también montamos un nodo TOR de salida malicioso que manipulaba las respuestas DNS. En aquel entonces nos detectaron las medidas de seguridad y os lo dejé escrito en el artículo "Protección contra DNS Hijacking en la Red TOR".


Figura 2: Conferencia de Owning bad guys {and mafia} using JavaScript Botnets en Black Hat USA 2012

Al final, cuando nos conectamos a cualquier red siempre tenemos esquemas de Man in the middle, que pueden volverse peligros ya sea mediante un Access Point en la red WiFi que nos pueda hacer un ataque de Web Proxy AutoDiscovery, un router que nos haga un ataque SLAAC o el mismo servidor VPN que estés utilizando e infectando todos los ficheros JavaScript que descarguemos. Es por ello que autenticar y cifrar extremo a extremo es lo más deseable para garantizar que te estás conectando al elemento que quieras y que nadie en medio va a poder acceder a los datos que van en la comunicación.


Si el cifrado extremo a extremo no funciona, alguien podría meterte en una JavaScript Botnet, acceder a tus datos, o manipular los ficheros que descargas. En Hack Players hablaron hace tiempo de BDFProxy, una herramienta que en tiempo real infecta todos los archivos que pasan por un esquema de Man in the middle, lo que haría que cualquiera de esos que acabe ejecutándose en el cliente de la víctima quede comprometido.

Figura 3: Ejemplo de funcionamiento de BDFProxy para infectar binarios

Efectivamente, el manipular estos ficheros para meter el backdoor acabaría por romper cualquier firma digital del fichero que sea comprobada a posteriori. Esto, en los sistemas de actualizaciones es comprobado desde hace tiempo - o al menos debería - ya que desde que el investigador argentino Francisco Amato (@famato) publicó las técnicas de Evil Grade, se sabe que un atacante podría estar actualizando el software de su sistema operativo y alguien, con un ataque de Man in the middle, en lugar de entregar una actualización legítima entregue un backdoor para controlar el paquete.


Figura 4: Fin fisher uso un bug de Evil Grade en iTunes para infectar Mac OS X durante años


Si esto sucede, el software de actualización no funciona, y sale un error de firma incorrecta del binario, que es lo que llevó al creador de BDFProxy a investigar los nodos de la red TOR en busca de alguno que estuviera alterando los binarios.... y acabó por encontrarlo. El nodo malicioso en concreto estaba en Rusia, y estaba infectado con bots para controlar equipos que se conectan a través de la red TOR y enviándolos a paneles de control en servidores de Internet. De hecho, uno de los binarios infectados apunta a una web del pueblo de Alcoy, donde se puede ver que en Google han quedado indexados unos enlaces "extraños" con parámetros codificados.

Figura 5: Enlaces a un posible panel de control en una de las webs que aparecen en el binario

El riegos de utilizar esquemas de Man in the middle es que al final hay que confiar en los dispositivos de red que están en medio - por eso la NSA intentaba controlarlos en sus operaciones de espionaje - y en algunas redes como CJDNS conseguir acceder a ella exige un proceso de ganarncia de confianza. Sea como fuere, si vas a bajarte un binario ejecutable, hazlo desde la conexión más confiable posible.

Saludos Malignos!

8 comentarios:

  1. Descargar algo, da igual desde donde sea, siempre entraña un riesgo. Con lo cual, conectarse a internet sin una mínima formación equivale a exponernos a todo tipo de amenazas.

    ResponderEliminar
  2. Completamente de acuerdo con buguroo...
    Por lo tanto, los que sabemos aunque sea un poco del tema, debemos entonar el "mea culpa Penny" por no explicar a nuestros usuarios los peligros de según que comportamientos cuando navegan por la red

    ResponderEliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  4. Reescribo mi comentario, que no me parecía del todo correcta mi pregunta: Quiero decir: La Red tor es insegura por este motivo? Porque realmente, si pasamos un nodo traicionero, nuestros datos estarían al descubierto ¿no?

    ResponderEliminar
  5. Si no me equivoco, tus datos estarían al descubierto si "sales" a través de un nodo traicionero. Los nodos intermedios sólo reciben paquetes cifrados, la IP del nodo anterior, y la del siguiente. Pero el nodo final lanza la conexión "en claro". En algún momento hay que hacerlo. Así que, salvo que uses cifrado, como es el caso del HTTPS...

    ResponderEliminar
  6. Simplemente, cada sistema tiene su aplicación. Yo no usaría la red Tor para conectarme al banco o a la administración electrónica. Otra cosa es publicar una "opinión incómoda con el poder", filtrar ciertas informaciones a la prensa,... Sobre todo, si vives en según qué países.

    ResponderEliminar
  7. Entiendo, muchisimas gracias!

    ResponderEliminar
  8. Hay páginas en la dark Web donde pueda descargar Ejecutables y Aplicaciones?

    ResponderEliminar