Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Porqué PCAudit no demuestra una falla en los cortafuegos
 
VSantivirus No. 988 - Año 7 - Sábado 22 de marzo de 2003

Porqué PCAudit no demuestra una falla en los cortafuegos
http://www.vsantivirus.com/pcaudit.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


PcAudit es una pequeña aplicación, que estos días ha tomado popularidad porque aparentemente demostraría en forma contundente, que la mayoría del software del tipo cortafuego actualmente disponible (por no decir todo), en realidad no estaría protegiéndonos.

Se trata de un test, capaz de obtener información de nuestra computadora, y enviarla a un sitio remoto, como lo haría algún troyano, con la gran diferencia que el cortafuegos que tengamos instalado no llega a avisarnos en ningún momento. Simplemente porque no parece enterarse.

En la prueba, una imagen en formato real del contenido del escritorio de nuestra computadora, el listado de los archivos de una de las carpetas de nuestro disco duro, una contraseña que ingresamos como demostración, y nuestra dirección IP, son inmediatamente colgadas en una página perteneciente a los creadores del test, quedando estos datos visibles para todo el mundo (en la demostración se muestra solo a los propios usuarios).

Hicimos la prueba con ZoneAlarm (ZA), el cortafuego que empleamos por su gran sencillez y eficacia (dentro de lo suyo y hablando de usuarios domésticos). Pero sabemos de quienes utilizaron otros, con los mismos resultados.

Y funcionó... Sin ninguna señal de alarma de parte del ZA (en nuestro caso), la información de nuestro PC había sido "robada". Y una página de Internet se abrió mostrándola.

Pero... habían cosas que no nos convencían. Por ejemplo, el hecho de que el test fuera del fabricante de otro cortafuegos, que justamente dice ser invulnerable a esta falla, y el cuál, por supuesto, querían vendernos.

Así que hicimos unas pruebas, y llegamos a algunas conclusiones.

Recordemos el punto más importante a nuestro criterio. Aunque PCAudit se comporte como un troyano, se llega a ejecutar porque nosotros se lo permitimos. O sea, en caso de ser maligno, sería una de los trucos de ingeniería social más ingeniosos de los vistos hasta ahora... pero también una muy mala propaganda para el cortafuegos que pretende vender.

Nuestros experimentos

Primero, cerramos con el botón rojo del ZA el acceso a Internet y ejecutamos PCAudit. Arrancó sin problemas, hizo las preguntas necesarias para la prueba pero no se pudo conectar a Internet.

Eso significaba que el cortafuegos hace lo que tiene que hacer, bloquear lo que sale y entra de nuestro PC. Por lo tanto, si no daba ninguna señal de alarma cuando PCAudit se conectaba a la red para mandar nuestros datos, seguramente significaba que no era precisamente PCAudit el que transmitía los datos, sino alguno de los programas conocidos y autorizados por el cortafuegos.

Aplicando algo tan sencillo como la prueba y el error, procedimos a examinar programa por programa, de los que aparecían en la lista del ZoneAlarm. Es decir, primero sacamos todos con el botón derecho desde PROGRAM CONTROL, Programs (ver "Cómo configurar Zone Alarm 3.x", http://www.vsantivirus.com/za.htm). Luego ejecutamos PCAudit con el ZA sin el botón rojo pulsado, con la intención de ir agregando los programas que pidieran conectarse. Entre estos, figuraban el Internet Explorer, y el Outlook Express.

Era lógico pensar que se usaran esos programas (en realidad solo uno, pero para no hacer más complicada la prueba, probamos varias cosas al mismo tiempo, que no viene al caso detallar ahora).

Pero también era lógico que a esos programas tendríamos que dejarlos conectarse, ya que ese es su cometido (para navegar y manejar el correo deben "salir" a Internet). Si el PCAudit los utiliza, realmente le está haciendo "pito catalán" al cortafuego (o sea, burlándolo). Pero había otro elemento, del que ya no es tan lógico pensar que sea necesario se tenga que conectar a la red por si mismo... el propio cortafuegos.

Se supone que para obtener información de las actualizaciones, o para darnos los reportes de algunas intentos de intrusión, necesite conectarse a su sitio. Pero para ser sincero, no es buena práctica dejar que el propio cortafuegos quiera conectarse a Internet, aunque resulte cómodo. Así que agregamos el programa, pero marcamos la casilla para que no volviera a preguntar, y le dijimos que no se conectara.

Eso mismo puede hacerse desde PROGRAM CONTROL, Programs, si pinchamos con el mouse para que salga la ventana de selección con las tres opciones de "Allow", "Block" y "Ask" (permitir, bloquear o preguntar). Seleccionamos bloquear ("Block") en las últimas tres opciones, como se muestra en el gráfico:

Seleccionamos bloquear ("Block") en las cuatro opciones

O sea, lo dejamos con las últimas tres "X" rojas).

Como resultado, ZoneAlarm pregunta si desea conectarse a Internet (en ese caso le decimos que NO), PCAudit no se ejecuta, y sale un mensaje diciendo que nuestro PC está seguro.

Cómo conclusión, seguramente podríamos pensar que PCAudit se aprovecha de alguna opción de automatización del Outlook Express (y del Internet Explorer), para enviar los datos. O para hacer que los envíen esos programas, y en todo caso el propio ZoneAlarm es parte importante. Pero no es una falla del cortafuegos en si mismo (y recordemos que no funciona solo con el ZA, sino con la mayoría de los cortafuegos basados en software del mercado).

Además, no debemos olvidar algo que es muy importante, y que nos lleva a pensar que esta no es una situación de riesgo (no en el grado al que se refieren algunas noticias al menos). El PCAudit se ejecuta finalmente, porque nosotros se lo permitimos (él nos va guiando con sus preguntas). Incluso somos capaces de poner nuestra dirección electrónica (para que nos manden un resultado detallado de la prueba), sin pensar que a partir de allí también podríamos ser víctimas del SPAM.

Existen muchos virus, gusanos y troyanos, que realmente atacan a los cortafuegos (y a los antivirus), sacándolos de la memoria. Y eso si es peligroso (la solución es estar al día con los antivirus y no ejecutar nada sin revisarlo antes).

Más que una vulnerabilidad, se trata de una simple prueba para nuestro sentido común. O para nuestro exceso de confianza.

Nuestro consejo es que en todos los casos al instalar un cortafuegos, los configuremos para que el propio cortafuegos no se conecte a Internet. En caso de ser necesario para actualizarse por ejemplo, deberíamos hacerlo manualmente y bajo demanda, jamás en forma automática.

Y finalmente, solo para complementar la información obtenida, diremos que PCAudit se vale de la librería "winlnet.dll" (de 50,608 bytes), para llevar a cabo sus acciones. Al ejecutarse, actuando como "dropper", libera dicho archivo en la carpeta C:\Windows\System (o en la que corresponda al sistema instalado). También modifica el archivo "wininit.ini", al que agrega las siguientes líneas:

[rename]
NUL=C:\WINDOWS\SYSTEM\winlnet.dll

Con ello, logra que al reiniciarse la computadora, se borre el archivo "winlnet.dll". Eso al menos demuestra que a pesar de no decirnos toda la verdad, actúa con cierta ética.

Conclusiones

PCAudit solo es una manera, al menos ingeniosa, de promocionar un software de seguridad, pero no puede decirse que explota ninguna vulnerabilidad de los demás cortafuegos. Estos hacen lo que tienen que hacer, es decir bloquear o dejar pasar los programas que le marquemos para ello.

PCAudit ni siquiera intenta hacerse pasar por otro programa (no suplanta a ninguno). En todo caso, solo ejecuta una librería que le permite usar ciertas facilidades de los programas para enviar información de manera legal (para eso están).

Y aún si pensáramos que esto no lo hace de manera muy ética, podríamos estar hablando de un troyano, no de una falla de nuestros cortafuegos.


Relacionados:

Leaktest.PCAudit. Compromete la seguridad del PC
http://www.vsantivirus.com/leaktest-pcaudit.htm


Modificaciones: 4/abr/03, 18/ago/07



[Última modificación: 18/08/07 01:05 -0200]





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS