Sobre las competencias del antivirus
martes 26 de junio de 2018
Vamos a hablar más sobre como “esquivar” la protección antivirus: las noticias de este tema aparecen muy frecuentemente.
El nuevo virus informático puede infectar un PC con un micrófono y un altavoz.
Los expertos en IT Michael Hanspach y Michael Goetz realizaron un experimento, al usar 5 equipos conectados entre sí en una red acústica oculta con altavoces y micrófonos incrustados. Los datos se transferían de un equipo a otro hasta llegar a un PC conectado a la red externa. Como resultado, han conseguido transferir los datos a distancia de 20 m, con frecuencia de 20 kHz, a velocidad de hasta 20 bit/seg, informa gizmag.com.
Para la protección de los datos en el futuro se podrá aplicar filtraciones acústicas especiales con filtro paso banda.
Pero ¿dónde está la infección? Si los datos se transfieren, significa que en el equipo ya hay un programa nocivo. Y lo que el usuario mismo hizo clic y lo lanzó cuando el antivirus visualizaba una advertencia, no es ningún problema del antivirus.
Conclusión. El problema descrito no tiene nada que ver con lo de esquivar el antivirus y no puede causar infección.
Las señales de radio de rango FM pueden ser usadas para el hackeo de equipos a distancia
En la conferencia MALCON 2014 celebrada la semana pasada en Puerto Rico los expertos en ciberseguridad presentaron un método de hackeo de equipos y portátiles autónomos con un móvil ubicado no muy lejos del objeto del ataque. El hackeo se realizaba con tecnología llamada AirHopper desarrollada por Mordechai Guri y el profesor Yuval Elovici de Cyber Security Labs de la Universidad Ben Gurion, Israel..
La tecnología AirHopper no se basa en Bluetooth, Wi-Fi, ni en otras tecnologías modernas de comunicación inalámbrica. Permite robar los datos con las ondas de radio de rango FM. Todos los detalles técnicos de la tecnología AirHopper aún se mantienen en secreto. Pero, según la información publicada en el sitio web de la universidad, los investigadores ya hace mucho se dedican a los problemas de uso no estándar de receptores FM de la mayoría de los móviles y smartphone de hoy. Usando este receptor y un programa que procesa las señales recibidos por el mismo, se puede interceptar las pulsaciones de teclas, la imagen en la pantalla emanada como ondas de radio tanto por la pantalla como por la tarjeta vídeo del equipo, y otros datos más desde el equipo aislado del mundo externo.
Software nocivo capaz de robar los datos del ordenador con el calor
Los expertos en seguridad detectaron otra vulnerabilidad que usa un tipo de emisión más fácil: el calor. BitWhisper, como los investigadores Mordechai Guri y Yuval Elovici llamaron su programa, ataca a los equipos no conectados a Internet. Con los programas nocivos que pueden conectarse a los sistemas de refrigeración de los equipos y los sensores de temperatura, BitWhisper puede transferir la información adelante y atrás entre dos equipos contiguos.
Por ejemplo, si la temperatura de un equipo sube un grado durante un periodo determinado, esto se detectará por el equipo vecino como un bit binario «1»; si se restablece la temperatura inicial, será «0».
Si lo recopilamos todo, será un comando del equipo o los datos sin procesar, como la contraseña.
Por supuesto, hay muchas desventajas. Para que BitWhisper pueda funcionar, los dos equipos deben estar ubicados a distancia de 15 pulgadas uno de otro (bastante cerca para detectar los cambios de temperatura), uno de ellos debe estar conectado a Internet, y ambos deben estar infectados con el programa nocivo. Y si tomamos en cuenta el tiempo necesario para que la temperatura suba y baje, la transferencia de datos llevará mucho tiempo, hasta horas.
Pero ¿se trata de hackeo? Es solamente la intercepción de la radiación de los equipos y otros sonidos. Las tecnologías conocidas aún en la Unión Soviética, cuando aún no hubo antivirus ni virus.
Conclusión. El problema descrito no tiene nada que ver con lo de esquivar el antivirus y no puede causar infección.
Según el experto Mordechai Guri, al medir la velocidad de rotación del cooler, se puede recibir los datos almacenados en el sistema. El ataque Fansmitter será necesario si el equipo físicamente aislado no tiene altavoces y no se puede recibir información por canales audio.
Para realizar esta operación correctamente, el malintencionado debe instalar en el sistema objetivo el software nocivo especial. Este modo está basado en el análisis del ruido emitido durante el funcionamiento del procesador y el cooler. Es software especial puede regular la velocidad de rotación del cooler, administrar las ondas de sonido emitido por el equipo. Los datos binarios recibidos se modifican, luego se transfieren a través de las señales radio al micro remoto, puede ser un teléfono cercano.
En este caso el malintencionado también debe inventar cómo implementar este programa en el equipo protegido.
Conclusión. El problema descrito no tiene nada que ver con lo de esquivar el antivirus y no puede causar infección.
Las noticias mencionadas tienen una cosa en común: un malintencionado transfiere o intercepta algunos datos. Es probable que con un programa nocivo instalado. Supongamos que el programa en realidad ha sido implementado. ¿Deberá el antivirus supervisar los datos transferidos por el mismo?
Actualmente los programas nocivos no suelen penetrar a través de vulnerabilidades, sino a través del usuario, es decir, el tráfico de correo e Internet. Para impedir el lanzamiento del programa nocivo, el antivirus controla el protocolo http (acceso a Internet), smtp/pop3/imap4 (correo) иy protocolos de messengers (el listado es incompleto, es lo más básico).
Recordamos que hace falta escanear el tráfico porque no todos los objetos que llegan son archivos y luego se escanean por el monitor de archivos. Por ejemplo, hay troyanos y virus que no tienen sus propios archivos. Ya hemos explicado lo de la necesidad de algunos módulos del antivirus.
Pero los programas nocivos usan más protocolos, no solo los mencionados más arriba. Por ejemplo:
Los hackers usan Intel AMT para transferir mensajes entre los PCs infectados. Los Firewalls y los antivirus no lo “ven” ni lo bloquean. Esto permite obtener los datos sin ningún problema de los hosts infectados.
Y es verdad. Los programas nocivos usan muchos protocolos para la comunicación. AMT SOL, Tor… Hay muchas opciones. Pero el control de estos protocolos no es una tarea del antivirus. Lo que pasa es que estos protocolos sirven para comunicación y no para penetración.
¿Puede un antivirus interceptar estos datos? En teoría, sí. Pero esto no tiene sentido, porque hasta si el antivirus intercepta toros los protocolos conocidos de comunicación de troyanos y virus, no será difícil crear otro nuevo. Es por eso que es importante impedir la penetración de los programas nocivos en el equipo – y el antivirus se dedica a esto. Si no hay un nuevo archivo penetrado, o habrá todos los casos de comunicación de los equipos infectados con los malintencionados, mencionados más arriba.
¿Puede un antivirus interceptar estos datos? En teoría, sí. Pero esto no tiene sentido, porque hasta si el antivirus intercepta toros los protocolos conocidos de comunicación de troyanos y virus, no será difícil crear otro nuevo. Es por eso que es importante impedir la penetración de los programas nocivos en el equipo – y el antivirus se dedica a esto. Si no hay un nuevo archivo penetrado, o habrá todos los casos de comunicación de los equipos infectados con los malintencionados, mencionados más arriba.
#mito #hackeo #antivirusEl mundo de antivirus recomienda
No conviene confiar en los medios de comunicación cuando le informan que su antivirus no es capaz de nada. Lea la noticia atentamente, tome su café y Dr.Web.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
19:05:33 2018-08-12
Неуёмный Обыватель
09:26:25 2018-06-26