Cuando la NSA atacó a firmas de antivirus como Kaspersky

0

Antivirus de Kaspersky, perseguido por la NSA

La NSA y su equivalente británico GCHQ, han estado largo tiempo trabajando en formas de vulnerar los productos antivirus a nivel mundial, entre ellos el de la popular compañía Kaspersky. Esto aparece claramente en nuevos informes desvelados por el ex-NSA Edward Snowden.

Ingeniería inversa

Esto es lo que han estado haciendo las agencias gubernamentales con los productos antivirus más populares: diseccionar los productos y buscar vulnerabilidades que poder aprovechar. Pero no sólo eso, también han estado monitorizando las comunicaciones vía email y el tráfico web, para así poder captar pistas que les ayudasen.

Esta ingeninería inversa realizada sobre el software de Kaspersky ha llevado indirectamente al filtrado de información relevante de los más de 400 millones de clientes de la empresa a nivel mundial. Algo totalmente ilegal.

El gato y el ratón

Ese el juego que se ha llevado a cabo durante los últimos años entre ambas partes, siendo muchas veces la NSA el “gato” y los antivirus el ratón. Los esfuerzos por comprometer los productos antivirus tienen todo el sentido: son normalmente la única barrera de protección con la que cuenta el sistema y gozan de la máxima confianza por parte del sistema operativo. En palabras de Joxean Koret, un investigador de ciberseguridad de Coseinc, Singapur:

Si escribes un exploit destinado a un antivirus, te aseguras contar con los privilegios más elevados (root, system o incluso Kernel) con poco esfuerzo. Los productos antivirus, con algunas excepciones, están bastante por detrás de otras aplicaciones orientadas a cliente desde el punto de vista de auto-protección. Esto quiere decir que Acrobat Reader, Microsoft Word o Google Chrome son más difíciles de vulnerar que el 90% de los antivirus existentes.

Datos referentes a la plataforma de captura de datos SIGINT, empleada por la NSA

Datos referentes a la plataforma de captura de datos SIGINT, empleada por la NSA

Sin estar de acuerdo con la gravedad de esta afirmación, lo cierto es que el trasfondo es preocupante: si vulneran nuestro antivirus son dueños de nuestro sistema.

Las agencias, tras el antivirus KasperskyKaspersky antivirus 2015

Según el documento recientemente filtrado y de alto secreto, emitido por la agencia británica GCHQ, que data de 2008, estaban preocupados porque el antivirus de la firma rusa conseguía obstruir las operaciones de espionaje de las agencias, como describen en dicho documento:

Algunos productos personales de seguridad como el antivirus ruso Kaspersky continúan suponiendo un reto para las capacidades del CNE (Computer Network Exploitation) del GCHQ y resulta esencial un SRE (proceso de ingeniería inversa) para poder vulnerar dicho software y que este no detecte nuestras actividades.

 

La ingenería inversa

Realizada sobre el software, la ingeniería inversa es una colección de técnicas para el descifrado y análisis que muestren cómo trabaja un programa a nivel interno. Este proceso puede ser tan simple como observar el flujo de datos hacia/desde el programa o bien tan completo como analizar el código máquina -binario- para fijarse en el nivel de funcionamiento más básico del mismo.

Análisis de las cabeceras HTTP empleadas por el antivirus kaspersky

Análisis de las cabeceras HTTP empleadas por el antivirus kaspersky

El segundo método incluiría el estudio de porciones de código no mencionados en el manual ni en otra documentación. Dicho de forma llana: se trataría de tomar miles de comandos que el software envía al ordenador para dictarle un comportamiento, para después traducirlos en un formato comprensible para alguien que no ha diseñado el programa.

Kaspersky también cometió errores

La NSA, junto al GCHQ, estuvieron estudiando largo tiempo las posibles vulnerabilidades del software antivirus de Kaspersky. En 2008, se comprobó que el antivirus de la firma estaba transmitiendo información sensible del usuario (hacia sus servidores) y que era posible capturarla, según se deriva de estos informes.

¿Cometió Kaspersky errores de bulto al proteger la información del cliente?

¿Cometió Kaspersky errores de bulto al proteger la información del cliente?

La información iba incrustada dentro de las cadenas referentes a User Agent, situadas en las cabeceras del protocolo HTTP o solicitudes HTTP. Dichas cabeceras suelen colocarse al inicio de una solicitud de acceso web, apra así identitificar el tipo de software y ordenador que inicia la solicitud.

Según el informe, la NSA averiguó que estas cadenas podrían usarse para identificar de forma única a cada aparato perteneciente a la red de Kaspersky, pues la cadenas capturadas contenían versiones de los antivirus de Kaspersky codificadas, pudiendo ser empleadas como identificadores de máquina.

Esto les permitiría conocer qué máquinas utilizaban versiones diferentes del antivirus y, por tanto, eran susceptibles o no de ataques.

¿A quién creer?

Algunos test realizados por The Intercept durante el último mes, con una copia de Kaspersky Small Business Security 4, determinaron que, mientras parte del tráfico era ciertamente cifrado, un informe detallado con la configuración del equipo local, software y hardware instalados era, de hecho, enviada de vuelta a Kaspersky sin seguridad alguna.

Kaspersky ha comentado recientemente que no ha sido capaz de reproducir estos resultados.

Por otro lado, se dieron algunos casos de usuarios (hablamos de 2012) como @cryptoOCDrob, que publicó una captura de pantalla en Twitter mostrando cómo el antivirus de Kaspersky filtraba datos del usuario sin ningún tipo de seguridad mientras comprobaba la reputación de una web.

tweet

Dos años más tarde, otro tuitero llamado Christofer Lowson afirmó que su dirección de email, clave de licencia y otros detalles estaban siendo utilizados por Kaspersky sin aplicarles seguridad.

En el próximo capítulo desvelaremos más detalles sobre esta historia y, de paso, anunciaremos todas las marcas que han estado en el punto de mira de las agencias gubernamentales.

Valora este artículo

  • User Ratings (1 Votes)
    8.9
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR