Unidad 8. Seguridad y privacidad en el correo (I)

8.1 Reseña histórica

En el año 1999 cayó el segundo gran mito en torno a los virus, el primero era la creencia de que era imposible por medio de software atacar el hardware, pero hasta entonces se pensaba que era una estupidez creer que un ordenador podría infectarse con sólo abrir un mensaje de correo (e-mail), sin necesidad de ejecutar ningún programa adjunto.

En el verano de este mismo año Juan Carlos García Cuartango, un español conocido por su habilidad para encontrar agujeros y vulnerabilidades dentro de los programas de Microsoft, anunciaba su último descubrimiento, un agujero en el motor de acceso a bases de datos jet 3.51. Lo que en principio podría parecer una vulnerabilidad más, no lo era tanto, debido al efecto dominó que este problema podía traer consigo.

El descubrimiento de Juan Carlos permitía construir una hoja de cálculo Excel que enviara comandos al sistema operativo sin necesidad de contener ningún tipo de macros. Es decir, bastaba con abrir una hoja de cálculo que explotara la vulnerabilidad para que esta accediera a cualquier parte del sistema, con infinitas posibilidades, formatear el disco duro, "incubar" un troyano en el pc, transferir información a otro computador, etc.

8.2 Los virus y los anexos

El enorme crecimiento en la adopción del correo electrónico a lo largo de los años ha venido acompañado por el desarrollo de código malicioso, es decir, virus y ataques de correo. El SMTP se ha convertido para hackers y crackers en una forma sencilla y extendida de distribuir código dañino en la red local. Las redes corporativas han sido sembradas de gusanos y virus, así como de crackers, a través del protocolo de correo. Un cortafuegos típico no puede proteger contra tales ataques de correo electrónico, simplemente porque no analiza el correo, ni su contenido.

Como los mensajes de correo pueden incluir archivos adjuntos, los hackers pueden enviar archivos infectados y esperar que el destinatario lo abra, como ocurrió con Melissa y Manwella. Este método utiliza ingeniería social (ofrecer confianza engañosa al usuario) para impulsar al usuario final a ejecutar el archivo. Además hay otros métodos que permiten a un experto, y posiblemente maligno cracker, incluir código en el correo y ejecutar automáticamente aplicaciones a medida, mientras el usuario final lee el texto del correo. Tales problemas ocurren desde que se utiliza el HTML en los correos y ha sido aprovechado por célebres gusanos como KaK worm, BubbleBoy virus o el Nimda y más recientemente con MyDoom, Sasser o Netsky.

A continuación indicamos algunas direcciones Web de interés sobre información de virus y antivirus disponibles en la red.

http://www.hispasec.com -- Web de seguridad informática.

http://www.alerta-antivirus.es -- Web oficial de Red.es con información sobre los últimos virus.

http://virusattack.virusattack.com.ar -- Web para defenderte de los virus.

http://www.vsantivirus.com -- Revista digital sobre virus, troyanos, etc.

http://www.avp-es.com/ -- Web oficial de uno de los considerados como mejor antivirus, Kaspersky.

http://www.pandasoftware.es -- Web oficial de la compañia de software antivirus. Dispone de escaneo en línea.

http://www.free-av.com/ -- Web oficial de Antivir Personal Edition. Uno de los antivirus más completos que existe

http://free.grisoft.com/ -- Web del antivirus AVG, con dos versiones: gratuita y de pago.

http://www.symantec.com/region/es/ -- Web oficial de la compañia de software Norton Antivirus Symantec en España.

http://es.mcafee.com/ -- Web oficial de la compañia de software antivirus Mcafee. Dispone de un antivirus en línea.

http://www.nod32-es.com/home/home.htm -- Web del antivirus NOD32.

8.3 Métodos más utilizados para atacar un sistema de correo

Archivos adjuntos con contenido malicioso

Melissa y LoveLetter fueron algunos de los primeros gusanos que ilustraron el problema de los archivos adjuntos de correo y la confianza. Hicieron uso de la confianza existente entre amigos o conocidos. Si se recibe un archivo adjunto de un amigo que dice que se abra, hay que tener cuidado. Esto es lo que ocurre con Melissa, SirCam y muchos otros gusanos similares. Además, tales gusanos suelen enviarse a si mismos usando la libreta de direcciones de la víctima, correos antiguos, páginas web almacenadas en la caché de la máquina local, y métodos similares.

Los autores de virus ponen mucho énfasis en solicitar a la víctima la ejecución de los archivos adjuntos. En consecuencia, utilizan nombres atractivos a los archivos, como SexPic.cmd y yo.pif.

Sobre todo hay que desconfiar de archivos que tengan la extensión .pif, .exe, .scr, .cmd, etc...

Correos electrónicos con cabeceras MIME deformadas

El gusano Nimda tomó Internet por sorpresa. Evitando muchas herramientas de seguridad de correo, penetró en servidores y redes corporativas, además de infectar a usuarios particulares. Este gusano utilizó un defecto de Outlook Express e Internet Explorer para esparcirse a través del correo. A pesar de que este gusano no solo se expandió a través del correo electrónico, esta tecnología contribuyó mucho a que el virus infectara tantas máquinas como le fue posible. Diversas redes corporativas tuvieron un gran problema con la desinfectación de este código malicioso.

El truco de Nimda fue que se ejecutaba automáticamente en ordenadores que tuvieran una versión vulnerable de Internet Explorer u Outlook Express. Como éste se instala básicamente en cada sistema Windows, la mayoría de los usuarios que recibieron el gusano a través de correo fueron infectados con facilidad. Este abuso hacía uso de una cabecera MIME deformada, la cual indica a Outlook Express que el archivo adjunto infectado era un archivo WAV. Esto permitió al gusano ejecutarse automáticamente al abrir el correo. Esto planteó un gran problema de seguridad de correo electrónico, al no ser necesaria la intervención del usuario para la apertura de los archivos adjuntos.

Las cabeceras MIME especifican cosas como la línea del asunto, la fecha o el nombre del archivo. En el pasado de Outlook Express, se descubrió que los campos de fecha y nombre de archivo eran vulnerables a los ataques de 'buffer overflow' (desbordamiento). Mediante el diseño de una cadena de texto larga y 'de artesanía', un hacker experto podría ejecutar código en las máquinas objetivo. Estas vulnerabilidades son propensas a ser aprovechadas para penetrar en redes remotas o para la entrega de virus o gusanos