Malware, el malson dels sistemes

Asurmendi Sainz, Jabier

Informatika-ingeniaria eta Bitarlan-en sortzailea

En els ordinadors i altres dispositius digitals, el programa que entra per sota del sistema i fa mal es coneix principalment com a virus. No obstant això, i sobretot a mesura que s'estén Internet, han anat apareixent altres paraules barrejades amb el terme virus: phishing, troià, spam, spyware, cucs, etc. Cadascun d'ells té diferents comportaments i objectius. D'aquesta manera, per a la recopilació de tots aquests petits programes, s'ha ampliat la denominació de malware o programari maliciós més general.
Malware, el malson dels sistemes
01/05/2008 | Asurmendi Sainz, Jabier | Enginyer informàtic i fundador de Bitarlan
(Foto: http://www.flickr.com/ photos/23905174@N00/1594411528/)

El que s'ha considerat com el primer retrat el va crear Robert Thomas Morris en 1972. Es va conèixer com Creeper en el monitor de l'ordinador "I'm a creeper... catch m'if you ca!" (Sóc Aihen-belarra, apájame si pots!) perquè de tant en tant mostrava el missatge. Per descomptat, el primer virus va portar el primer programa antivirus: Reper, en basc, segadora. No obstant això, la paraula virus no va aparèixer fins a 1984.

Què són els virus?

Un virus és un petit programa que es reprodueix automàticament i es reprodueix sense coneixement i autorització dels usuaris, introduint part del seu codi font en el codi font d'altres aplicacions. D'aquesta forma, quan s'executa l'aplicació contaminada, també s'executa el codi font introduït pel virus, que s'integra en altres aplicacions o fitxers. I quan aquests fitxers infectats s'executen en altres sistemes, aquest sistema també es contamina i el codi font del virus es copia en els fitxers del nou sistema. Aquest és el principal objectiu del virus: estendre's a si mateix.

No obstant això, s'han popularitzat pels danys que provoquen en el sistema multi-virus. És el que es coneix com payload del virus, és a dir, les conseqüències dels virus en el sistema. Les conseqüències poden ser bromes senzilles o danys importants en les dades o en la xarxa, per exemple. No obstant això, i segons es creï, un virus informàtic és potent per la seva capacitat reproductiva i no per la gravetat dels danys que pot causar en el sistema.

Els virus, en general, han de saber si un fitxer està infectat per a evitar que es torni a contagiar, deixant una signatura o una marca en els arxius infectats. Perquè aquesta és la vulnerabilitat dels virus per a sobreviure. De fet, una vegada coneguda la marca, els antivirus poden detectar virus i arxius infectats.

Com més precisa és la marca, més fàcil és conèixer-la i detectar-la. Per tant, els programadors de virus tracten de desenvolupar les marques el més genèriques possibles i no utilitzar determinats caràcters com a marques, sinó que també poden contenir arxius no contaminats. Això evitarà que tots els arxius del sistema siguin infectats pel virus, però alhora dificultarà la seva captura. També han existit virus sense signatura, com el Jerusalem. Contagia arxius repetidament i col·lapsa discos durs.

Els virus no són l'únic risc

Codi font. És on el virus inserida el seu.
J. Asurmendi

Com ja s'ha esmentat anteriorment, tots els programes nocius que es poden introduir en els ordinadors no són virus i actualment els sistemes estan amenaçats per diversos malware. Entre ells, els troians gaudeixen d'un cert prestigi. A diferència dels virus, no tenen capacitat de reproducció automàtica. De fet, el seu nom històric indica que és una aplicació perjudicial, però s'introdueix en el sistema com una aplicació innòcua. És a dir, en una aplicació normal que es pot utilitzar normalment s'introdueix un codi font nociu que ataca: és una aplicació útil per a l'usuari, però per sota està executant altres funcions sense que l'usuari s'adoni.

El primer troià va aparèixer en 1980, però abans que es difongués Internet no s'usava molt, ja que calia distribuir-ho manualment. Ara, no obstant això, són més fàcils de repartir i són bastant perillosos perquè es destrueixen més a poc a poc que els virus. Aquest és el principal objectiu dels troians: perseverar inconscientment en el sistema per a poder fer les seves tasques. Aquestes tasques poden consistir a esborrar o substituir dades, rebre informació de l'usuari, monitorar la pantalla de l'usuari, donar accés a l'ordinador, etc.

Una de les tasques dels troians és introduir spyware o aplicacions espies. Els spyware s'executen per si mateixos en el sistema i el seu principal objectiu és obtenir informació del sistema i de l'usuari: dades, operacions, webs visitades, informació llegida, etc. I com la informació d'aquestes aplicacions s'envia a través d'Internet, l'efecte col·lateral dels spyware és reduir la velocitat de connexió a Internet.

Igual que l'spyware, els backdoor o portes posteriors també poden accedir als sistemes mitjançant troians. Els troians poden tenir la porta posterior oberta, de tal manera que el backdoor pot ser un fitxer que l'usuari ha descarregat i instal·lat d'Internet, sense ser conscient d'això. Aquests backdoores no són més que fragments de codis font que permeten l'accés als sistemes contaminants i permeten a l'agressor evitar vies directes d'autenticació d'accés al sistema. Una vegada dins, en l'ordinador contaminat es poden monitorar les operacions de l'usuari, imprimir, obrir lectors de DVD o CD-ROM, accedir o guardar fitxers, etc.

Un altre malware conegut són els cucs. Igual que els virus, es reprodueixen automàticament, però a diferència dels virus, per a reproduir-se no han de contaminar altres arxius, sinó que s'inicien automàticament amb el sistema. D'aquesta forma aconsegueixen situar a l'usuari en la memòria, entre els processos del sistema, sense adonar-nos. El seu objectiu és divulgar a través d'Internet o de la xarxa local i accedir a altres ordinadors. Lògicament, la càrrega de treball del procés de reproducció dels mascles fa que s'alenteixi el sistema i la connexió a Internet.

Un dels més coneguts ha estat Blaster. Una fallada de seguretat dels sistemes MS Windows en el seu moment donava lloc a una ràpida expansió en la xarxa local o a través d'Internet, reiniciant el sistema en un minut.

Quan fer clic suposa una pèrdua de diners

El primer troià va aparèixer en 1980, però abans que es difongués Internet no s'usava molt, ja que calia distribuir-ho manualment.
(Foto: http://www.flickr.com/ photos/mount_otz/217833766/)

Els fraus que es produeixen en Internet s'han convertit en un perill important en els últims temps i és un problema preocupant, ja que la seva caiguda pot suposar una pèrdua de diners importants. Potser l'oïda és Phishing (arrantzan, euskaraz). A diferència dels malware anteriorment esmentats, no s'instal·len en sistemes ni es reprodueixen automàticament. Estan situats en un servidor d'Internet i han d'accedir a la seva pàgina web a través del navegador.

La forma més comuna d'accedir a aquesta adreça és a través d'un correu electrònic que, suposadament, ha estat redactat per una entitat financera o per una empresa coneguda i que sol·licita al lector que accedeixi a la seva pàgina web a través d'un enllaç. Tant el domini com el disseny d'aquest lloc web són el més similars possibles al de la web de l'entitat real per a enganyar a l'usuari. I, amb qualsevol excusa, sol·licita a l'usuari unes dades seves que, en general, són necessaris per a operar per Internet amb l'entitat financera. D'aquesta forma, l'agressor pot obtenir les dades de l'usuari per a poder operar en el seu compte.

Un altre malware que incita per Internet és el dialer, però no està tan estès. I és que han de fer una crida per a ficar el fem a través del mòdem i no es realitza cap crida a través d'ADSL o cable mòdem i encaminadors. Els dialers són, de fet, petits programes que es colgan en les pàgines web. Demanen a l'usuari que baixi i executi el programa per a poder accedir a algun servei. Però ocorre una altra cosa: aquests petits programes fan anomenades a distància sense que l'usuari el sàpiga. Com a conseqüència d'això, l'usuari rep una enorme factura del telèfon i l'agressor pot obtenir un benefici econòmic. Per a protegir-se legalment, solen esmentar-ho en una nota tant del programa com de la web, és clar en la lletra petita.

Vulnerabilitats de sistemes

Enfront dels malware, la principal feblesa no resideix en el sistema, sinó en el comportament de l'usuari, ja que la majoria d'aquests malwares es valen del que es coneix com a enginyeria social per a contagiar els sistemes o ficar el fem. És a dir, mitjançant tècniques de manipulació i subjuegos l'usuari aconsegueix que s'executi una aplicació o fer clic en un enllaç.

No obstant això, en els sistemes existeixen característiques que els fan més vulnerables als atacs de malware. Per exemple, la denominada desbordament del buffer overflow o buffer és una feblesa molt utilitzada pels malware. Aquest error es produeix quan l'estructura dissenyada per a emmagatzemar les dades en un espai de la memòria permet emmagatzemar més dades dels inclosos en la seva capacitat. Alguns malwares ho aprofiten per a executar el codi font.

Una altra de les febleses és que si s'utilitza el mateix sistema operatiu en tots els ordinadors d'una xarxa, si s'aconsegueix accedir a ell també s'aconseguirà accedir a tots els ordinadors de la xarxa.

Els fraus en Internet poden suposar una pèrdua de diners si aconsegueixen obtenir les dades dels comptes corrents.
D'arxiu

Així mateix, la concessió de permisos a programes i usuaris del sistema per sobre dels estrictament necessaris pot ser contraproduent. Moltes vegades es concedeixen permisos de gestió del sistema a l'usuari que no és administrador del sistema, per defecte en la configuració d'alguns sistemes.

Mesures de protecció

Moltes de les mesures que es poden adoptar per a protegir el sistema poden derivar-se de l'anterior. El principal és que no s'executin aplicacions que no es coneguin bé i que no es donin dades sense certificar a qui s'estan facilitant, i per descomptat, que no es donin més dades dels necessaris. Cal tenir en compte que les entitats financeres mai sol·liciten per correu electrònic les dades d'accés als seus llocs web.

A més, es poden adoptar altres mesures senzilles de seguretat, com per exemple, amb els permisos que requereix el que només estem treballant, o iniciar sessió amb usuaris amb més permisos només quan es necessita instal·lar una aplicació o canviar alguna configuració del sistema. Quan es rebi un fitxer a través d'Internet o una altra via, s'assegurarà l'absència de virus i es realitzaran còpies de seguretat de les dades rellevants. Així mateix, és important mantenir actualitzat el sistema operatiu.

Tècniques senzilles de virus
Overwrite (Sobreescritura) : El codi font del virus és la forma més senzilla d'introduir-lo en els arxius que es volen infectar i la més fàcil d'atrapar. El virus copia el seu codi font sobre el contingut de l'inici del fitxer destino. Queda prohibit l'ús del fitxer infectat, per la qual cosa és molt fàcil detectar la presència del virus.
Prepending (Còpia inicial) : El codi font del virus s'insereix a l'inici del fitxer de destinació. Amb aquesta tècnica s'aconsegueix que s'executi el codi font del virus quan s'executa el fitxer infectat i que aquest últim continuï sent útil.
(Foto: Estoc.Xchng)
Appending (Còpia al final) : És la mateixa idea que l'exemple anterior, però no tan pesada en el temps com l'anterior. Mitjançant la programació s'insereix un salt a l'inici del fitxer per a l'execució del virus i un salt al final del virus al codi font del fitxer infectat.
Conpanion (Laguna) : Aquesta tècnica ajuda a l'arxiu que es vol contaminar en lloc de modificar-lo. Per a això, en general, es copia el fitxer original en un fitxer ocult i el virus en el fitxer original.
Publicitat no desitjada
Si alguna cosa ha obert el camí a la publicitat en els últims anys, Internet li ha obert, i d'això s'han valgut alguns anunciants, entitats de publicitat i particulars, perquè els anuncis es difonguin a un preu reduït. I per a això els desenvolupadors de malware també han creat productes. Les de tipus Adware són una de les més costoses, ja que s'instal·len en el sistema i obren finestres d'anuncis. I la necessitat de veure les finestres d'anuncis no és prou pesada, i els adware fan que tant la connexió a Internet com el rendiment del sistema siguin relativament lents. Les finestres que s'obren automàticament mentre es navega per Internet, encara que poden resultar incòmodes, no són tan molestes com les altres i a més no s'instal·len en el sistema.
En aquest grup no podien faltar els spam, que omplen les bústies electròniques sense mesura. En l'actualitat, el trànsit generat pel spam és molt major que el generat pels missatges no escombraries. Entre els missatges que es reben diàriament, el percentatge d'aquests missatges publicitaris no desitjats és molt elevat. En aquest cas, els servidors de correu electrònic estan obligats a instal·lar mitjans anti-spam per a poder rebre menys missatges no desitjats per l'usuari.
Asurmendi Sainz, Jabier
Serveis
242
2008
Serveis
039
Programari; Internet
Article
50%
Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila