Algunos trucos para esconder programas maliciosos

Enigma Aunque este tipo de artículos son algo técnicos, me gustó leer An Example of Common String and Payload Obfuscation Techniques in Malware que utiliza tácticas diferentes para saltarse las posibles protecciones: una lista de programas que se pueden utilizar en el análisis dinámico, cifrado de cadenas de texto para que no sea fácil encontrarlas y comunicación cifrada con el centro de control (command & control). Todo ello sin utilizar técnicas muy sofisticadas pero de eficacia suficiente.

También nos viene bien a nosotros porque es fácil de seguir y comprender los trucos que utilizan los malos a veces.

La privacidad, los datos y los usuarios

Intimidades Otro tema que sigue apareciendo de vez en cuando por aquí: tenemos muchos datos que a veces queremos compartir para análisis estadísticos y de otro tipo. El problema: la privacidad. En How do you anonymize personal databases and protect people’s privacy – over to you, NIST comentan sobre la guía de US National Institute of Standards and Technology (NIST), que se puede ver en [PDF] De - Identi fi cation of Personal Information.

Se trata de un documento en fase de comentarios y revisión con algunas lecciones interesantes:

  • El balance entre proporcionar información útil y privacidad no es fácil.

  • Hay mucho trabajo, y debe hacerse

Además, como se podía esperar, la privacidad de los famosos todavía es más complicada de proteger.

Para proteger los datos se pueden utilizar métodos sobre los propios datos, o sobre la forma de proporcionarlos.

Se pueden ver comentarios anteriores sobre anonimización y des-anonimización, por ejemplo en Sobre re-identificación de datos anónimos y seguir los enlaces, porque no es este el primer informe sobre el tema que recomendamos.

La responsabilidad de las empresas en los ataques

Geekonomics Este tema aparece por aquí de vez en cuando: en este caso, desde el punto de vista del atacado ¿son las empresas responsables de los ataques que sufren?. En 90% of directors believe regulators should hold firms liable for hacks dicen que sí.

El matiz es que se haya prestado la debida atención (‘due care’) o no:

Nine out of 10 of those surveyed believe regulators such as the FTC should hold businesses liable for cyber breaches if due care has not been followed

También es cierto que se trata de responsables concienciados, que están tomando medidas o piensan tomarlas próximamente:

While 94 percent of respondents have increased or are planning to increase their security assessments to address liability concerns, two-thirds of respondents say they have also begun or are planning to insert liability clauses into contracts with their third-party providers.

La última vez que hablamos de este tema fue en Seguridad y aseguradoras

Sobre generadores de sitios web estáticos

El sitio en GitHub Siempre me ha parecido sugerente la idea de un sitio generado de manera estática. Por eso me gustó experimentar con pyblosxom (que no está demasiado activo, la verdad) y me decidí a migrar desde Wordpress aquí (aunque lo estático de este sitio se podría poner en duda de muchas formas porque cualquiera sabe, al final, lo que realmente hay por detrás). Contábamos el traslado en Cuarta etapa.

Con todas las ventajas de los gestores de contenidos disponibles por ahí uno se quedaba tranquilo con encontrar una solución que se adapte a sus rarezas y olvida el tema. Hasta que descubre que algunos dicen que este tipo de gestores que nos gustan son ‘la próxima gran cosa’ (en su contexto, imagino). Al menos eso es lo que decían en Why Static Website Generators Are The Next Big Thing.

Tampoco vamos a volvernos locos. Asumimos que este tipo de sistemas tienen sus ventajas para unos cuantos, es bueno que existan y ya nos viene bien. Pero no me imagino que vayan a ser mayoritarios.

Si alguien está interesado en el tema se habla de StaticGen, un directorio de este tipo de generadores y el artículo también habla de los típicos sitios más-o-menos-importantes que utilizan una aproximación de este tipo.

En realidad, no deja de ser una locura para determinadas páginas web utilizar esos gestores de contenidos tan complejos y con tantas posibilidades de que algo vaya mal. Pero de ahí a pensar que la web va a volver a ser más estática, hay un pequeño trecho que no se si mucha gente recorrerá.

Habla de sitios dinámicos con frontales estáticos (caches) y otras cuestiones técnicas relacionadas. Me gustó leerlo, y por eso lo traigo aquí.

¿En quién confías? El compilador

Mac de Apple Para mi es una lectura imprescindible el [PDF] Reflections on Trusting Trust de Ken Thompson y ya hemos hablado del mismo tema en alguna ocasión, por ejemplo en Un compilador que infecta los binarios donde aquellas ideas pasaban de la teoría a la práctica.

Más recientemente podíamos leer sobre XcodeGhost, que realizaba el ataque contra el compilador Xcode de Apple para iOS y OS X:

XcodeGhost is an example of compiler malware. Instead of trying to create a malicious app and get it approved in the App Store, XcodeGhost’s creator(s) targeted Apple’s legitimate iOS/OSX app development tool called Xcode to distribute the malicious code in legitimate apps.

Los ‘malos’ habrían ‘adaptado’ el compilador para sus objetivos y habrían colgado el enlace en distintos foros para que la gente se lo bajase y lo utilizase, produciendo un buen número de infecciones en diversos programas que terminaron en la AppStore.

Nótese que es un problema muy fácil de evitar, simplemente bajándose las herramientas de sitios confiables y no escuchando los cantos de sirenas de los foros y sitios de noticias. Pero aún así, algunos desarrolladores cayeron e infectaron a sus usuarios.