|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Troyanos, ventanas invisibles y cortafuegos | ||
|---|---|---|
VSantivirus No. 761 - Año 6 - Jueves 8 de agosto de 2002 Troyanos, ventanas invisibles y cortafuegos http://www.vsantivirus.com/08-08-02.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Una nueva tecnología revelada esta semana en DefCon, la conferencia anual de seguridad que reúne a hackers, profesionales de la seguridad e investigadores de crímenes cibernéticos, parece terminar con la protección que brindan los cortafuegos a nuestras computadoras. La técnica, revelada por tres investigadores sudafricanos, básicamente disfraza a un troyano, haciéndolo pasar por el Internet Explorer, habilitando de este modo conexiones que para el cortafuegos son legales (el Internet Explorer es habilitado por defecto por un cortafuegos, porque de lo contrario no podríamos navegar por los distintos sitios Web). Según los especialistas, esto se ha estado advirtiendo desde hace más de dos años, enmarcándolo como un inevitable próximo paso en técnicas avanzadas de intrusión, y hoy es un hecho. El pasado domingo, en DefCon, una demostración de este troyano, llamado 'Setiri', no fue detectada por ningún cortafuegos conocido. Sus creadores aseguraron que no sería liberado para el uso de terceros, pero ya se contactaron con Microsoft para que cambie las características del IE que permiten esta acción. El troyano puede llegar a la computadora de la víctima como cualquier otro troyano, virus o gusano, por ejemplo encubierto como adjunto en un mensaje de correo electrónico, o descargado mediante engaños de un sitio Web, o CD, etc. La principal diferencia de esta clase de troyano, es que no contiene comandos ejecutables que bloqueen con su acción al cortafuegos activo. En lugar de ello, el programa lanza una ventana invisible del Internet Explorer que se conecta secretamente a un servidor Web a través de un proxy anónimo llamado Anonymizer.com. Este sitio está pensado para permitir la navegación en forma anónima a un usuario, sin embargo Setiri lo utiliza para ejecutar comandos en nuestro PC sin nuestro conocimiento. Estos comandos incluyen la descarga de programas que capturen lo tecleado por la víctima y el envío de sus claves y otros datos confidenciales capturados de este modo, a un sitio Web determinado. Debido a que los datos así robados pasan a través del proxy anonimizador, es imposible localizar la ubicación de la computadora del atacante. El troyano hace uso de una característica estándar del Internet Explorer que permite que éste cree y utilice una ventana invisible para conectarse a Internet. La ventana del IE se abre en segundo plano, y no es visible en el escritorio. Por otra parte, al visualizar las tareas en ejecución solo se muestran como una tarea normal (IEXPLORE.EXE), como la de cualquier otra ventana del Internet Explorer, lo que hace muy difícil que pueda llegar a causar alguna sospecha. Ni siquiera requiere modificar de forma alguna la instalación del cortafuegos. Para este es el navegador que se está ejecutando (de hecho lo es), y esto es una situación normal. Internet Explorer utiliza las ventanas invisibles para propósitos legítimos, como el enviar información de registración a la red. Y no solo los productos de Microsoft son culpables. El programa de correo Eudora, también hace uso de las ventanas invisibles del navegador para descargar imágenes en el correo electrónico. Según los investigadores que realizaron la demostración, una de las maneras de evitar el uso de esta técnica, sería deshabilitar la función que hace invisible una ventana del explorador, pero ello acabaría con muchas de las posibilidades usadas por varias aplicaciones. Por ahora, la única manera de evitar la acción de este troyano, es configurar el cortafuegos para negar el acceso al sitio Anonymizer.com. Otra opción (para uso en computadoras domésticas), podría ser emplear una utilidad como Proxomitron, recomendada por VSAntivirus para bloquear el acceso a mucho código maligno en scripts y páginas HTML, que también puede bloquear el acceso a determinados sitios. Pero los investigadores advierten que alguien podría realizar variantes de este troyano, utilizando diferentes sitios, incluso algunos creados premeditadamente por un cracker. Incluso luego de la demostración, en DefCon se mencionó que ya alguien había creado un troyano diferente, pero que se valía de las mismas características aquí descriptas del Internet Explorer. Por su parte Microsoft, está examinando el problema. Una posible solución sería bloquear el uso de las ventanas invisibles a determinadas acciones, por ejemplo las potencialmente peligrosas. Las precauciones más lógicas para un usuario común, como siempre, es no abrir ni ejecutar ningún archivo no solicitado, ni descargado de sitios que no han sido debidamente comprobados. Relacionados VSantivirus No. 646 - 14/abr/02 Proxomitron. Una protección imprescindible para navegar http://www.vsantivirus.com/proxomitron.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
