Log in

Ataque cibernético sacude al mundo

Londres— Un ataque informático a gran escala sacudió al mundo ayer, al parecer aprovechando una falla expuesta en documentos filtrados de la Agencia de Seguridad Nacional (NSA) de Estados Unidos.

El ataque se produjo mediante un virus "ransomware", una técnica utilizada por los hackers que bloquea archivos de los usuarios a menos que paguen a los atacantes una suma designada en la moneda virtual Bitcoin.

El alcance de los ataques no estaba claro, pero algunos analistas informaron que decenas de países habían sido afectados por el virus, vinculado a ataques contra hospitales de Gran Bretaña así como al gigante español de las telecomunicaciones Telefónica y a la compañía privada de correo estadounidense FedEx.

El Departamento de Seguridad Nacional de Estados Unidos dijo ser consciente de que las infecciones por el ransomware alcanzaron a "varios países alrededor del mundo".

"Hasta ahora hemos detectado más de 75 mil ataques en 99 países", dijo Jakub Kroustek, de la empresa de seguridad Avast, a las 02:00 GMT.

Anteriormente, el investigador de Kaspersky Lab, Costin Raiu, había hecho mención a 45. mil ataques en 74 países, y señalado que el virus, en forma de "gusano", "se extiende rápidamente".

Los laboratorios de seguridad Forcepoint indicaron en un comunicado que "una campaña altamente maliciosa" había sido lanzada a través del correo electrónico, consistente en el envío de unos 5 millones de correos por hora.

El nombre del virus es WCry, pero los analistas también estaban usando variantes, como WannaCry.

Forcepoint destacó que el ataque tenía "alcance global" y afecta a organizaciones en Australia, Bélgica, Francia, Alemania, Italia y México, entre otros países.

En Estados Unidos, FedEx reconoció haber sido golpeado por el virus y anunció que "implementará los pasos de corrección necesarios tan pronto como sea posible".

El estatal Servicio Nacional de Salud (NHS) del Reino Unido declaró que un "gran incidente" había obligado a algunos hospitales a alterar actividades y a desviar ambulancias.

El Centro Nacional de Ciberseguridad británico estaba asistiendo en la investigación de los incidentes.

En Brasil, los portales web del Tribunal de Justicia y el Ministerio Público de Sao Paulo salieron del aire como medida de precaución.

Las asesorías de comunicación de ambas instancias precisaron a la AFP que recibieron por la tarde la instrucción de apagar los servidores por precaución, sin previsión de reconexión.

El ministerio de Interior ruso indicó a su vez que "se registró un ciberataque en los ordenadores que utilizan un sistema operativo Windows", según dijo una portavoz de la dependencia gubernamental.

Fotos publicadas en las redes sociales mostraron pantallas de computadoras del NHS con imágenes exigiendo el pago del equivalente a 300 dólares en la moneda electrónica Bitcoin.

El mensaje decía "Ooops, sus archivos han sido encriptados!" y exigía que el pago fuera efectuado en tres días bajo amenaza de duplicar el precio, y que en caso de que no se abonara en siete días los archivos serían borrados.

Infección directa

Un grupo de hackers llamado "Shadow Brokers" difundió el virus en abril alegando haber descubierto el defecto de la NSA, según Kaspersky.

Muchos sistemas todavía deben ser actualizados, aunque Microsoft lanzó una actualización de seguridad para la falla este año, dijeron investigadores.

"A diferencia de la mayoría de los ataques, este virus se difunde principalmente por infección directa, más que puramente por correo electrónico", dijo Lance Cottrell, responsable del grupo de tecnología de Estados Unidos Ntrepid.

El ransomware puede propagarse sin que nadie abra un correo electrónico o haga clic en un enlace".

David Emm, investigador en seguridad informática de GReAT (Global Research & Analysis Team), en Kaspersky Lab, explicó que "hay varios motivos para los ciberataques, desde los beneficios financieros al deseo de plantear alguna reivindicación social o política, pasando por el ciberespionaje e incluso el ciberterrorismo".

Sin embargo, si la captura de pantalla que presentaron algunos medios "reclamando 300 dólares es correcta, esto sugiere que es un ataque al azar, más que algo intencionado" a gran escala. "Si un ciberdelincuente puede golpear tantos sistemas a la vez, ¿por qué no pedir mucho dinero?"

Dos empleadas de un hospital de Londres, que pidieron no ser identificadas, explicaron a la AFP que les pidieron "apagar todas las computadoras e incluso el wifi de nuestros teléfonos".

"Las computadoras no funcionan", añadieron, aclarando que el problema "no tiene ningún impacto en los pacientes".

Sin embargo, Caroline Brennan, una mujer de 41 años que estaba en el Hospital de Saint Bartholomew para ver a su hermano, recién operado a corazón abierto, explicó a la AFP los problemas que le ocasionó el ciberataque.

"Hasta hace unos minutos no nos dijeron que estaba vivo y bien", explicó, casi 10 horas después del fin previsto de la intervención.

"Llegamos a mediodía y nos dijeron que todavía lo estaban operando, cuando se suponía que iba a acabar todo a las 8 de la mañana".

"Luego, a las 13:00, nos dijeron por primera vez que había habido un problema, que el sistema se había estropeado y que no podían trasladar a nadie hasta que se resolviera, por lo que estaba todavía en el quirófano", explicó.

Localización y borrado de mensajes, nuevas apps que causaron caída de Whatsapp.

A través de expertos consultados por medios especializados en tecnología revelaron que la caída de más de 120 minutos de la aplicación fue porque los servidores de WhatsApp se preparaban para una nueva app que sorprenderá a muchos.

En un principio, WhatsApp no hizo ningún comentario sobre cuál era el motivo que causó el colapso del servicio de mensajería, pero en un segundo comunicado de la compañía, después de restablecerse el servicio, afirmó que había "localizado el problema" y que pedía "disculpas por las molestias", aunque evitó explicar de qué se trataba la falla detectada, señala el portal de Minuto uno.

Dave Anderson, experto en experiencia digital, aseguró a la BBC que creía probable que una actualización de la aplicación fue la causante del problema. "WhatsApp envía una nueva versión de la aplicación cada pocos días y es probable que el estar creando código nuevo cada poco tiempo suponga que a veces no esté listo para su lanzamiento", dijo y añadió que "cada desarrollo viene con un riesgo. Sólo se necesita una línea de código errónea y la aplicación puede fallar".

Según apuntaron expertos entrevistados en otros diarios digitales europeos especializados, las actualizaciones serían las siguientes:

Una de ellas podría ser la localización en tiempo real. Con ella podremos compartir en un mapa nuestra ubicación junto con el resto de nuestros contactos para saber a qué distancia estamos.

La otra novedad tiene su propio rumor desde hace meses. La posibilidad de borrar mensajes enviados está estudiándose y ahora se habla de que el usuario tendrá 29 minutos para hacerlo siempre y cuando nuestro contacto no nos haya leído aún.

De momento WhatsApp nuevamente lanzó su actualización con una función denominada "Fijar chats", en el cual podrás destacar a un contacto frente a todos y visualizarlo primero en tu chat.

Pero estos no serían los únicos cambios, WhatsApp también propondría a los perfiles de empresas poder enviar publicidad a los contactos que los tengan agregados. Habilitará muy probablemente álbumes de fotos que nos permitan enviar hasta 30 fotografías de una sola tajada.

A su vez los estados, que ya cambiaron al más puro estilo Snapchat, podrían renovarse a través de la publicación de textos sobre fondos neutros.

Google y Facebook pierden $100 millones tras una estafa

  • Las compañías aseguran que lograron recuperar el dinero.

Las estafas digitales no sólo afectan a las personas, sino que también tienen como objetivo a grandes compañías.

Una reciente investigación reveló que Google y Facebook fueron víctimas de un mensaje falso que logró sacarle a ambas empresas una suma de 100 millones de dólares.

El autor de la estafa es un sujeto de Lituania llamado Evaldas Rimasauskas, de 48 años, que actualmente se encuentra procesado por estafa digital, lavado de dinero y suplantación de identidad, ya que, para lograr su objetivo, se hizo pasar por un funcionario de la compañía Quanta Computer, una firma taiwanesa que le ofrece servicios a Google, Facebook y Apple, entre otros. Ambas compañías aseguran que lograron recuperar el dinero que habían enviado.

Facebook señaló en una declaración que "hemos recuperado los fondos justo después del incidente y hemos estado cooperando con las autoridades legales e investigativas de la causa".

Por su parte, Google aseguró que al "detectar que se trataba de un fraude, nuestro equipo de finanzas alertó prontamente a las autoridades" y añadió que "hemos recuperado los fondos y estamos agradecidos de que todo este asunto esté resuelto".

Elon Musk planea enlazar el cerebro humano con inteligencia artificial

Elon Musk quiere hackear el cerebro.

El CEO de SpaceX y Tesla ha lanzado una compañía de investigación médica llamada Neuralink en California, informó el Wall Street Journal. El objetivo es crear interfaces cerebro-computadora, llamadas ‘neural lace’ (cordón neural), que permitan a los seres humanos conectarse directamente con lo que él llama "la versión digital de ustedes mismos" - dispositivos electrónicos.

Musk ha instado previamente a la mejora de la cognición humana para evitar que la gente sea superada por la inteligencia artificial.

El cordón neural implica implantar electrodos en el cerebro para que la gente pueda cargar o descargar sus pensamientos desde o hacia un ordenador, según el informe de WSJ. El producto podría permitir a los seres humanos alcanzar niveles más altos de función cognitiva.

Musk ha expresado su interés por la tecnología del "cordón neural" antes.  Describió por primera vez el producto potencial en la Conferencia de Código de Vox Media en 2016, diciendo que permitiría a los humanos lograr "simbiosis" con las máquinas.

Dijo que el cordón neural podría impedir que la gente se convierta en los "gatos domésticos" de la inteligencia artificial.

"No me encanta la idea de ser un gato de casa, pero ¿cuál es la solución? Creo que una de las soluciones, que parece ser la mejor, es agregar una capa de AI", dijo Musk en la Vox Code Conference. "Una tercera capa digital que podría funcionar bien y simbióticamente".

"Hasta cierto punto, ya somos un cyborg", dijo Musk en la conferencia de Dubai. "Piensas en las herramientas digitales que tienes, en tu teléfono, en tu computadora, en las aplicaciones que tienes ... Ya tienes una capa terciaria digital".

Aunque este es el plan a futuro, los primeros productos de Neuralink podrían ser utilizados para tratar trastornos como la epilepsia o la depresión clínica indica el reporte.

Lo que sí es una realidad es que aún falta mucho que hacer en el campo de la neurociencia antes de que el cordón neural sea una realidad. También están los riesgos a considerar.

Sólo el futuro nos mostrará a donde llega el cordón neural, pero a juzgar por los proyectos pasados de Musk, podríamos decir que seguirá trabajando hasta conseguirlo.

Jóvenes que utilizan redes sociales corren mayor riesgo de desarrollar trastornos alimenticios: especialista

  • El culto al cuerpo y a la belleza, los constantes anuncios publicitarios de ropa y productos de moda y la interacción con otros adolescentes, traducido en presión social, influye en la construcción de la percepción corporal del joven.

Los adolescentes corren un mayor riesgo de desarrollar algún trastorno de la conducta alimentaria (TCA) como anorexia o bulimia, debido al uso que puedan dar a sus redes sociales.

Ello, ya que las redes sociales ahora son parte del sistema natural de validación de los adolescentes, por lo que puede afectar la manera en como perciben su cuerpo y construyen su imagen ante sus pares.

La doctora Luz María Pérez de la Torre, nutrióloga adscrita al Hospital Civil de Guadalajara “Fray Antonio Alcalde”, señaló lo anterior en su ponencia Impacto de las redes sociales en la percepción corporal de los adolescentes, dictada en el XIX Congreso Internacional Avances en Medicina (CIAM).

“La imagen corporal no nada más se refiere a la imagen de las dimensiones de la corporalidad, sino también las actitudes y valoraciones que el individuo tiene en relación con estas dimensiones o con los sentidos, creencias y significados”, afirmó.

Acorde con la investigadora, el hecho de que exista una imagen de la corporalidad desfasada puede poner en riesgo los hábitos alimenticios de los adolescentes, manteniendo un estado de subalimentación o con déficit de los requerimientos básicos nutrimentales, por lo que consideró que puede ser un impulso para el desarrollo de TCA.

El culto al cuerpo y a la belleza, los constantes anuncios publicitarios de ropa y productos de moda y la interacción con otros adolescentes, traducido en presión social, influye en la construcción de la percepción corporal del joven.

“Los adolescentes tienen una necesidad psicosocial de abandonar a los padres para irse a las escuelas y a la calle con los amigos a validarse a través de ellos. Empiezan a manifestar preocupación por su imagen física, por la ropa que utilizan y por cómo se ven; comienza a ser un tema de preocupación cómo se ven percibidos. Estas necesidades de independencia, autonomía e integración con sus pares se ven resueltas con las redes sociales”, señaló.

A ello se suma que los adolescentes de la actualidad, que comprenden el grupo de jóvenes de entre 12 y 17 años, son parte de la primera generación nativa digital, conocida como generación Z. Según refirió la doctora, se caracterizan por ser más discretos y menos atrevidos que los millenials.

Dado que su desarrollo siempre se ha visto rodeado por las nuevas tecnologías de la información como el Internet, redes sociales y smartphones, “reciben información de manera instantánea y pierden el interés de la misma manera. Necesitamos entender cuáles son las características que engloban estas nuevas generaciones”, comentó.

“La imagen corporal no nada más se refiere a la imagen de las dimensiones de la corporalidad, sino también las actitudes y valoraciones que el individuo tiene en relación con estas dimensiones o con los sentidos, creencias y significados”. Foto: Conacyt.

JUVENTUD EN RED

Ocho de cada 10 adolescentes pasan en promedio cuatro horas conectados a Internet, acorde con el Estudio de Consumo de Medios entre Internautas Mexicanos. Facebook, YouTube y Twitter son las redes más utilizadas en el país, seguidas de Instagram y Google +.

La doctora Pérez de la Torre enfatizó que existen desventajas sobre el uso de redes sociales como expresión sociocultural, entre las cuales figura la creación y destrucción rápida de vínculos y la generación de expectativas falsas sobre la belleza, éxito y felicidad.

Además, los vínculos creados son usualmente débiles y se es más susceptible a sentir tristeza o depresión, que pueden afectar el rendimiento escolar y provocar TCA, además de problemas de abuso de alcohol, drogas y relaciones sexuales sin protección.

Por su parte, la doctora Silvia Lerma Partida, coordinadora de la maestría en ciencias de la salud de adolescencia y juventud de la Universidad de Guadalajara, mencionó que la edad promedio en la que se presentan TCA por uso de redes sociales es entre los 12 y los 15 años de edad.

“Los TCA son multifactoriales. La cantidad de adolescentes con TCA por redes sociales se va incrementando cada vez más, así como el embarazo no deseado en niñas”, afirmó.

La catedrática señaló en entrevista para la Agencia Informativa Conacyt que además de TCA, el uso inapropiado y sin vigilancia de las redes sociales por parte de los adolescentes puede derivar en conductas como adicciones, embarazos no deseados, entre otros.

PHOTOSHOP Y SELFIES 

Pérez de la Torre afirmó que las mujeres son más presionadas para acatar una serie de requisitos dictados por la sociedad a través de estas redes sociales. En el caso de los hombres, se valora el deseo de ganar peso por musculatura, la agresividad, autonomía y una actitud dominante, mientras que las exigencias para las mujeres abarcan la complacencia, pasividad y un permanente deseo de perder peso.

“La continua exposición al bombardeo de imágenes retocadas puede provocar que los adolescentes presenten estados de ansiedad. Son muchos requisitos imposibles de alcanzar”, acotó la doctora.

“En las redes sociales se manejan muchas fotos y se utiliza en exceso el Photoshop y otras herramientas para mostrar únicamente modelos delgados. Eso es lo que se valora y lo contrario se rechaza. Aunque no se diga que tener sobrepeso u obesidad es malo o feo, eso se entiende. Al aceptar la delgadez como éxito, belleza y felicidad, se está rechazando todo lo demás”, dijo.

¿CONTROLES PARENTALES? 

© Proporcionado por Sin Embargo

En entrevista para la Agencia Informativa Conacyt, la también catedrática de la Universidad de Guadalajara comentó que la mejor estrategia para evitar estos problemas es la prevención.

“Los adolescentes en esta etapa tienen que estar vigilados. Muchos de ellos pueden estar teniendo actitudes que les lleven a tener implicaciones graves en su desempeño profesional futuro”, comentó, a la vez que añadió lo mejor es que se muestren pasivos en el uso de redes sociales y se abstengan de subir material hasta la mayoría de edad. Sin embargo, muchas veces los padres no saben utilizar las redes sociales, lo cual es un obstáculo para esta estrategia.

Una solución que planteó la especialista es la inserción de clases de nutrición en el currículo escolar, para que ahí se abarquen temas de percepción corporal y autoestima relacionada con la corporalidad. La doctora Silvia Lerma Partida coincidió, además de agregar que se debe procurar una educación básica que enseñe a los niños y jóvenes sobre el manejo de emociones, autoeficacia y resiliencia.

Pérez de la Torre comentó que llegada la madurez disminuye el riesgo de presentar TCA por la depresión y ansiedad que puede llegar a generar el uso de redes sociales.

“La era de la tecnología y digitalización no se va a detener. Si estamos interesados en el desarrollo y atención de adolescentes es importante entender sus procesos de socialización. Necesitamos vincular con los adolescentes a través de la consulta y charlas a fin de comprender cómo es que se forjaron la imagen corporal de ellos mismos”, concluyó.

Se suman Pepsi y Wal-Mart a boicot publicitario contra You Tube

Un boicot publicitario contra YouTube continúa creciendo, una señal de que las grandes compañías dudan de la capacidad de Google para evitar que sus anuncios aparezcan en videos repugnantes.

PepsiCo, Wal-Mart Stores y Starbucks confirmaron el viernes la suspensión de su publicidad en YouTube, después de que The Wall Street Journal encontró que los programas de automatización de Google colocaban sus marcas en cinco videos con contenido racista. AT&T, Verizon, Volkswagen y otras compañías retiraron sus anuncios hace unos días.

Las deserciones siguen a pesar de que Google se disculpó por dañar a las marcas y delineó medidas para asegurarse de que los anuncios no aparezcan en videos reprobables.

No es un problema fácil de arreglar, incluso para una compañía con los talentos intelectuales que Google reunió con el fin de que crearan un motor de búsqueda en el que miles de millones de personas confían para encontrar la información que quieren en cuestión de segundos.

La empresa depende en su mayor parte de programas automatizados para colocar los anuncios en los videos de YouTube, porque el trabajo es demasiado como para que lo hagan los seres humanos. En la actualidad, cada minuto se publican en YouTube aproximadamente 400 horas de video.

Si Google no logra recuperar a sus anunciantes, esto podría resultar en millonarias pérdidas en ingresos por publicidad. Sin embargo, la mayoría de los analistas dudan que el boicot afecte seriamente a Alphabet Inc., dueña de Google.

Crea tus apps con el nuevo Visual Estudio 2017

Descubre la herramienta perfecta para desarrollo de software con Microsoft Visual Studio. Hay versiones disponibles para equipos de todos los tamaños y para desarrolladores individuales. Visual Studio 2017 es un entorno de desarrollo integrado (IDE) completamente equipado para Android, iOS, Windows, web y la nube.  

 

Mejora la experiencia en desarrollo de software con Visual Studio Professional Subscription (antes MSDN), ideal para aquellos que crean aplicaciones atractivas para consumidores y negocios en una variedad de dispositivos y en la nube. Te brinda las herramientas de desarrollo que necesitas para que puedas usar patrones de diseño web emergentes en una solución ASP.NET. Además, obtendrás características poderosas, como CodeLens, que te permiten enfocarte en el trabajo, mostrando referencias de código y cambios de código. Utiliza Xamarin para crear aplicaciones nativas para Android, iOS y Windows a través de desarrollo móvil profesional, código compartido y depuración. Y la suscripción te proporciona acceso al software básico de Microsoft, así como a Azure, Pluralsight y más.

 

Obtén aún más con Visual Studio Enterprise Subscription, una herramienta poderosa para equipos que colaboran en el desarrollo de aplicaciones para PC, dispositivos móviles y la nube. Administra la complejidad y estrecha el lazo entre el desarrollo y las operaciones de TI para implementar aplicaciones más rápidamente con las capacidades de operaciones de desarrollo para empresas. Visual Studio Enterprise Subscription es una solución coherente para definir, crear y operar las aplicaciones en diversas plataformas. Y ahora, con herramientas como Enterprise Agile, puedes administrar el trabajo entre proyectos y equipos, en un entorno simple y productivo. Asimismo, los beneficios de suscripción incluyen créditos mensuales de la nube, herramientas de colaboración, cursos, soporte profesional y todo el software y los servicios más recientes y mejores de Microsoft.

 

Si buscas un poderoso panel e informes más completos, seguimiento de tareas y depuración, además de herramientas de planeación ágiles, prueba Visual Studio Team Foundation Server.  Regala organización al equipo y notarás el éxito de inmediato. Encuentra las características más actualizadas en el software Visual Studio.

 

Explora todo el software Visual Studio disponible y compra con confianza. En Microsoft Store, todos los envíos y devoluciones son gratis, todos los días.

Utilizar ROP para detectar malware es perder tiempo

Todos los meses, el ingeniero de software Asher Langton, especialista en malware del equipo de Sky ATV (Advanced Threat Prevention o prevención avanzada de amenazas) de Juniper Networks, publica un breve estudio sobre algún tipo de malware. Este mes, Langton trata de la técnica “return-oriented programming” (o ROP), que es objeto de mucha discusión entre especialistas en sandboxes.


La discusión ocurre porque algunos tipos de malware utilizan ROP para intentar infectar un sistema y, por lo tanto, según algunos especialistas, sistemas de detección de malware necesitarían también monitorear este vector de ataque, aunque esto cause el excesivo uso de recursos computacionales. Asher argumenta y explica porque el Sky ATP logra ofrecer la misma protección sin buscar detectar el ROP propiamente dicho. Al final, dice él, una técnica de exploración de la seguridad de un sistema, como es el caso del ROP, también puede ser detectada por indicadores comportamentales. Este es el post de Langton:


Tradicionalmente, para que una técnica de exploración (“exploit”) pudiera infectar un sistema algunas cosas necesitaban ocurrir:
 

  1. Encontrar un error de programación en una aplicación (por ejemplo, el Adobe Flash) que permita inputs especialmente creados para transbordar o, de alguna otra manera, corromper una región alocada en la memoria.
  2. Inyectar un código ejecutable (shellcode) en la memoria del programa.
  3. Transferir el control para este nuevo código y substituir las informaciones de control por una dirección de retorno en la pila de llamadas.

Con esta técnica, la simple abertura de un documento o media resultaba en la ejecución arbitraria de un código en el sistema visado. El invasor asumía el control y podía descargar otros tipos de malware, recolectar informaciones del sistema, instalar spyware o hooks persistentes etc.


Aquí está un ejemplo simple de un programa vulnerable a un ataque que corrompe la memoria.


El ataque aprovecha el uso de la función insegura gets(), que lee una string de la consola “algo digitado por un usuario” y la escribe en una localización específica en la memoria sin verificar si hay espacio disponible.

 

 
Cuando la función buggy() es llamada, el computador almacena en la memoria la dirección de retorno (la próxima instrucción en main() después de la llamada de función) en el call stack del programa. Después que buggy() acaba, la ejecución del programa debería retornar a la dirección 0x00401047 (aquí en reverso en la memoria del programa porque la arquitectura x86 es little-Endian).
 

 

El nombre escrito por el usuario también es almacenado en el stack, en los 8 caracteres alocados para 'str'.
 

 

Pero, si el nombre tiene más de 8 caracteres, la función gets() va a despreocupadamente sobrescribir en la memoria adyacente:
 

 

Note que los dos caracteres finales – el ‘n’ final de Langton y el carácter null usado para indicar el final de la string – han atropellado la mitad de la dirección de retorno. El resultado es un cash, porque el control salta para la dirección 0x0040006E. Pero un invasor puede ir más allá e incluir un código shell ejecutable en la string de input para sobrescribir la dirección del original, de manera que el control ahora salte para el propio código del agresor.


Dos técnicas, llamadas de NX (No-eXecute) y DEP (Data Execution Prevention), combaten este tipo de ataque, asegurándole al nivel del hardware que una determinada sección de la memoria es grabable o ejecutable, pero no las dos cosas. Aunque el invasor encuentre una vulnerabilidad de memoria e inyecte un shellcode, la CPU va a recusar la ejecución de aquellas instrucciones.


La técnica ROP supera esta protección, utilizando el código existente en la aplicación de manera equivocada, o sea, de la forma que no originalmente se pretendía.


Para entender como eso funciona, vamos a empezar con una analogía. En Wisconsin, hay un poder del Ejecutivo conocido como veto Frankenstein, que le permite a un gobernante rechazar selectivamente las palabras de determinado proyecto de ley. Un ejemplo:

 


Al vetar determinadas palabras y frases, la ley ha sido modificada de:
[...] el secretario de administración debe transferir para el fondo general o para el fondo general de los saldos no comprometidos de las dotaciones de las agencias estatales, tal como definido en la subsección (1W) (a), además de añadir recursos suficientes y dotaciones de ingresos federales, un monto igual a $ 724,900 durante el año fiscal de 2006-07 [...]


Para:
[...] el secretario de administración debe transferir de los balances del fondo general un importe igual a $ 330,000,000 durante el año fiscal de 2005−06 e 2006-07 [...]



Al redirigir selectivamente el texto existente, el gobernador ha cambiado una apropiación en casi tres ordenes de magnitud. (¡Una versión anterior de este poder de veto permitía a los gobernadores vetar hasta letras individuales en un proyecto de ley!)


De manera semejante, el ROP reúsa fragmentos existentes de instrucciones de la aplicación vulnerable para fines no previstos originalmente. Al substituir partes de la pila de llamada, la técnica ROP permite saltar por todo el programa y cada vez ejecutar selectivamente un pequeño número de instrucciones anteriores a la declaración de una función 'ret' (de ‘return’, de donde viene su nombre).


Como hemos visto, es posible explorar un error de programación para sobrescribir la dirección de retorno de una función en el stack. Esto nos permite transferir el control del programa a un local arbitrario. Vea el siguiente fragmento de función:

 


Al establecer la dirección de retorno en 0x0040A4BB cuando sobrescribimos el stack, saltamos hacia el final de esta función, ajustando el register eax en 0 al hacer un  XOR en sí mismo. La instrucción de retorno en 0x0040ABD espera encontrar otra dirección de retorno en el stack, pero esta también puede ser sobrescrita junto con la dirección anterior. Un fragmento de código cuyo uso se desvía de esta manera se llama dispositivo ROP y una exploración conducida por la técnica ROP se forma por una cadena de tales dispositivos, llamados en secuencia por causa de los errores de la memoria intencionalmente corrompida. Debido a la dificultad de construir una secuencia adecuada de bytes para sobrescribir el stack y controlar el flujo del programa por medio de una secuencia de fragmentos de funciones, esta técnica es usada solo mientras es necesaria; un abordaje común es usar el ROP para ignorar el DEP y después usar técnicas más tradicionales para concluir la exploración del sistema.


Una vez entendido el mecanismo por detrás de la técnica ROP, volvemos a la cuestión que dio inicio a este post: ¿El Sky ATP intenta detectar el ROP directamente?


La respuesta es no, por las siguientes razones:

  1. Detección de ROP es redundante en un sandbox anti-malware. El ROP es usado como un primer paso para rodar un código malicioso en determinado dispositivo. El propósito del malware es hacer algo malicioso: ransomware, una puerta trasera para añadir el computador de la victima a un botnet, robo de datos etc. El análisis dinámico del motor del Sky ATP detecta un conjunto variado de indicadores de malicia, independientemente de que el primer punto de apoyo haya sido un ROP.
  2. Los ROP son específicos para cada sistema y frágiles; entonces, detectarlos en un sandbox es muy improbable. Como se ha dicho, los ROP buscan errores de programación en una aplicación ya instalada, entonces el sandbox también necesita ser configurado con la misma versión vulnerable. Además, como las exploraciones conducidas por los ROP saltan por el código ejecutable bruto, pequeños cambios en la configuración del sandbox (diferentes versiones de bibliotecas del sistema, variaciones de hardware etc.) frecuentemente neutralizan el ataque, resultando como máximo en un crash de la aplicación, no en una exploración exitosa. Las personas deberían preguntar a los proveedores de antimalware con detectores de ROP cuantas veces ellos lograron detectar un verdadero ROP en ambientes de producción.
  3. La detección de los ROP usa muchos recursos. Para observar estándares ROP en el flujo del programa, sería necesario monitorear las actividades de un sistema a nivel de hardware. Es mucho más fácil detectar un malware evasivo.


La baja probabilidad de detectar un ROP en actividad debe ser comparada con el alto costo de emulación a nivel de CPU. Si se multiplica esto por el número de sistemas en que una muestra debe ser ejecutada para asegurar alguna probabilidad de combinación entre la exploración y una vulnerabilidad, la relación de costo-beneficio no tiene fin. Como una exploración exitosa también sería detectada por indicadores comportamentales, la mayor parte de las soluciones antimalware – incluso el Sky ATP – no hace la detección directa de ROP.

Suscribirse a este canal RSS
Sportbook sites http://gbetting.co.uk/sport with register bonuses.