Video: Lo que NO TE DICEN sobre ganar DINERO (Noviembre 2024)
Vern Paxson, profesor de Ingeniería Eléctrica y Ciencias de la Computación en la Universidad de California, Berkeley, es famoso en la comunidad de seguridad por un artículo de 2002 titulado Cómo ser dueño de Internet en su tiempo libre (entre muchas otras hazañas). Basado en un análisis detallado de los gusanos Code Red y Nimda, el documento promovió la necesidad de un "Centro para el Control de Enfermedades" de Cyber. En estos días, Paxson está buscando un modo diferente para manejar problemas de seguridad a gran escala: la infiltración. Su discurso de apertura en la 10ª Conferencia internacional sobre software malicioso y no deseado (MalCon 2015 para abreviar) me impresionó a mí y a los asistentes con la sencillez de este enfoque.
Gana mucho dinero en tu tiempo libre
¿Quiere ganar mucho dinero en la industria del malware? No tienes que ser un codificador. Incluso si tiene esas habilidades, no tiene que aprender todos los aspectos de la creación y distribución de malware. Hay varios trabajos diferentes en el ecosistema de malware.
La figura clave en este ecosistema es el corredor, el tipo que conoce negocios pero no codifica. Tiene dos tipos de clientes. Los codificadores de malware tienen un software desagradable que les gustaría instalar en muchas PC de consumo. Podría ser falso antivirus, ransomware, componentes de botnet, casi cualquier cosa. Luego están los afiliados, los codificadores que tienen los recursos para instalar software arbitrario en sistemas desprotegidos. Utilizan técnicas como descargas automáticas, spam y phishing para infligir un descargador en los sistemas de las víctimas.
Ahora las ruedas comienzan a girar. Los codificadores de malware contratan para pagarle al agente por la instalación de su código en tantos sistemas como sea posible. Los afiliados instalan descargadores en tantos sistemas como sea posible. El descargador se pone en contacto con el agente, que suministra malware de los codificadores, probablemente en varias instancias. Y a los afiliados se les paga según la cantidad de instalaciones. Todos hacen dinero en este sistema de pago por instalación (PPI), y estas redes son enormes.
"Hay un par de brillantes aquí", dijo Paxson. "El corredor no hace nada, no interrumpe, no descubre hazañas. El corredor es solo un intermediario, toma ganancias. Los afiliados no tienen que negociar con los malos ni saber qué hacer después de entrar. Todos los miembros solo tienen que hacer su parte ".
Los malos tienen mala seguridad
"Históricamente, la detección de ataques a la red ha sido un juego de whack-a-mole", señaló Paxson. Golpea un ataque, aparece otro. No es un juego que puedas ganar.
Su equipo intentó un enfoque diferente contra este sistema PPI. Capturaron muestras de varios descargadores y aplicaron ingeniería inversa para determinar cómo se comunican con sus respectivos corredores. Armados con esta información, idearon un sistema para enviar al corredor solicitudes de malware descargable. Paxson llama a esta técnica "ordeño" el corredor de malware.
"Uno pensaría que esto fallaría", dijo Paxson. "¿Seguramente el corredor tiene algún tipo de sistema de autenticación o limitación de velocidad?" Pero resulta que no lo hacen. "Los elementos del delito cibernético que no se enfrentan al malware tienen diez años de retraso en su propia seguridad, tal vez quince", continuó. "Están orientados al cliente, no al malware". Hay una segunda interacción por la cual el afiliado reclama crédito por la descarga; El equipo de Paxson, naturalmente, se saltó ese paso.
En cinco meses, el experimento extrajo un millón de binarios, que representan 9, 000 familias distintas de malware, de cuatro programas afiliados. Correlacionando esto con una lista de las 20 familias de malware más comunes, el equipo determinó que este tipo de distribución podría ser el vector número uno para la distribución de malware. "Descubrimos que nuestras muestras estaban aproximadamente una semana por delante de VirusTotal", dijo Paxson. "Lo estamos obteniendo fresco. Tan pronto como los corredores quieren sacarlo, lo estamos obteniendo. Una vez que está en VirusTotal, no lo empujas".
¿Qué más podemos infiltrar?
El equipo de Paxson también se hizo cargo de sitios web que venden cuentas de trabajo para muchos servicios diferentes. Señaló que las cuentas son completamente válidas, y no precisamente ilegales, porque "su único delito es violar los Términos de Servicio". Facebook y Google cuestan más por mil, porque requieren verificación telefónica. Las cuentas de Twitter no son tan caras.
Con el permiso de Twitter, el grupo de investigación compró una gran colección de cuentas falsas. Al analizar las cuentas, incluidos los metadatos suministrados por Twitter, desarrollaron un algoritmo para detectar cuentas creadas con la misma técnica de registro automatizado, con una precisión del 99, 462%. Usando este algoritmo, Twitter eliminó esas cuentas; Al día siguiente, los sitios web de venta de cuentas tuvieron que anunciar que estaban agotados. "Hubiera sido mejor cancelar las cuentas en el primer uso", señaló Paxson. "Eso habría creado confusión y en realidad había socavado el ecosistema".
Seguramente ha recibido ofertas de spam para venderle suplementos de rendimiento masculino, Rolex "reales", y demás. Lo que tienen en común es que en realidad tienen que aceptar el pago y enviarle el producto. Hay toneladas de enlaces involucrados en llevar el correo no deseado a su Bandeja de entrada, manejar su compra y entregarle el producto. Al comprar algunos artículos legales, descubrieron que el eslabón débil de este sistema era que se despejara la transacción de la tarjeta de crédito. "En lugar de tratar de interrumpir la red de bots que arroja spam", dijo Paxson, "no lo hicimos útil". ¿Cómo? Convencieron al proveedor de la tarjeta de crédito de incluir en la lista negra a tres bancos, en Azerbaiyán, Letonia y San Cristóbal y Nieves.
Entonces, ¿cuál es la comida para llevar? "Con un ataque a Internet a gran escala", dijo Paxson, "no hay una manera fácil de prevenir la infiltración. La infiltración es significativamente más efectiva que tratar de proteger cada punto final".
MalCon es una conferencia de seguridad muy pequeña, con alrededor de 50 asistentes, que reúne a académicos, industria, prensa y gobierno. Está respaldado por la Universidad de Brandeis y el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), entre otros. Los patrocinadores de este año incluyen Microsoft y Secudit. He visto aparecer varios documentos de MalCon unos años más tarde, con una investigación más madura, en la conferencia Black Hat, por lo que presto mucha atención a lo que se presenta aquí.
