martes, 11 de octubre de 2016

¿Hacker o software espía? La conexión no es privada

Hola a todos, ya hace alrededor de 2 años desde la última entrada y es que he andado liado con otras actividades sin poder terminar mucho de los proyectos que tenía pensado. Eso y el hecho que me hayan hecho firmar un acuerdo de confidencialidad, que tampoco me permitía realizar proyectos que compitieran con el ente en cuestión, me ha hecho abandonar el blog. Pero, en fin, ese ya es otro tema.
El otro día con mi notebook principal ocupada, me decidí a utilizar la netbook (que la tengo relegada, para algunas cosas especificas de programación) y vaya sorpresa la mía, cuando veo que no podía acceder a algunos sitios mas conocidos.
Si recordamos algunas entradas como "Las paginas juegan con nuestros datos" donde luego de interceptar la comunicación podíamos ver los datos que se enviaban por la red. Puse como ejemplo el caso de Windows Live que avisaba al usuario de dicho acto


Hace poco, salió una noticia de que Google quería combatir las paginas http que no están cifradas para reducir esto del robo de datos y demás:
http://staff5.com/chrome-quiere-acabar-las-paginas-http/
Inclusive, hoy en día los exploradores mas conocidos nos protegen bastante de muchas estafas.

En mi caso, cuando intentaba acceder a sitios conocidos que utilizan https como google, windows live, entre otros. Me salía un alerta de que mi conexión había sido interceptada.



¿Realmente podía ser posible?, un hacker en mi red?. ¡Vamos!, que he hecho cosas en el pasado que se considerarían poco ortodoxas, para el bien de la ciencia (? . Pero, ¿alguien en mi red? muy raro.

Podría usar algún programa que me diga si hay alguna maquina en modo promiscuo sniffeando la red, tipo Promqry (esta aplicación la sacó microsoft hace mucho años ya para ayudarnos en windows con estos temas).
Pero antes de continuar con la paranoia, si analizo la red con algún escaner de red en busca de los dispositivos conectados, solo encuentro dispositivos conocidos (según puedo ver comparando las direcciones MAC).


¿Y si fuera un programa malicioso?
Para un primer vistazo,  revisamos los programas que se ejecutan al iniciar el sistema. Existen varias formas, como se han tratado en diferentes entradas en este blog. Simplemente desde el registro, o utilizando alguna aplicación como Tuneup, ccleaner etc.
En este caso utilicé el autoruns, una herramienta proporcionada por microsoft que muestra una lista completa de todas las aplicaciones, servicios y procesos que se ejecutan al inicio.


Luego de buscar entre las aplicaciones y no ver nada extraño. Quizá podría haber algún comportamiento extraño, como una conexión en algún puerto. Para eso solo basta con ejecutar el comando netstat-b en la consola (actualmente requiere iniciar la consola como administrador)

Viendo los resultados no encuentro ninguna conexión abierta, lo que indica que no hay ningún proceso que se esté conectando a otro remotamente. Es decir que si existe, al menos no se está ejecutando independientemente y debe iniciarse con determinado proceso.
Por ejemplo, al abrir firefox normalmente muestra algo como lo siguiente:

En la imagen anterior se ven simplemente conexiones locales, por lo que si existe esta supuesta aplicación maliciosa, está tunelizando las conexiones y envenenando o los procesos de los exploradores lanzándose con la ejecución de ellos, o algún componente de windows.
Como no tengo instalado un antivirus, busco una de las herramienta que tengo como indispensable, hago un escaneo rápido y sí!, el anti malware, encuentra unas librerías, descritas como Trojan.FakeAlert .

Aunque quizá no sea el troyano en sí, la heurística del malwarebytes detecta que tiene rutinas similares. Justamente, una de las características del malware es mostrar sitios con falsos resultados de infecciones para que intentes descargar otros malwares, o incluso suscribirte a cuentas premium etc. El explorador al detectar que el certificado de seguridad del https no era valido, directamente lo bloqueaba.
Al ver esas librerías, finalmente recordé que al estar haciendo un trabajo, para hacer unas pruebas me pasaron unos instaladores de sql server. Y al parecer no eran muy legales que digamos.

Así que ya saben, tengan cuidado con el software pirata. O de donde descargan software, si bien los exploradores están evolucionando cada vez mas para protegernos, esto no es certeza de ello.

Saludos, y hasta la próxima entrada!.