[HACK] anti-spyware

merce merce at grn.es
Thu Sep 23 10:44:57 CEST 2004 

15:50 08/09/04


LOS   PROGRAMAS  QUE  COMBATEN  EL  "SPYWARE"  SON  LOS  MÁS
DESCARGADOS DEL AÑO


Mercè Molist
Gator,  Xupiter  o CoolWebSearch son parásitos muy populares
en los ordenadores con sistema operativo Windows, aunque sus
propietarios  no  lo sepan. Se cuelan al pinchar un enlace o
instalar un programa y espían la navegación web, también los
datos  introducidos  en  formularios. Envían secretamente la
información  a su base, donde se procesa y vende, sobre todo
a  empresas de correo basura. En tres años, han crecido y se
han  diversificado  más que los virus. Los programas que los
eliminan  son los más buscados, con millones de descargas en
Download.com.


Son  como  caballos  de Troya y los hay de muchos tipos: los
"dataminer",  que  espían  la  navegación; los "adware", que
muestran anuncios; los secuestradores, que cambian la página
de  inicio  del  navegador o lo dirigen a dónde quieren; las
"cookies"   maliciosas,  que  roban  datos  introducidos  en
formularios, como la dirección de correo; los "dialers", que
llaman  a  teléfonos de alta tarificación... Su nombre común
es  "spyware"  (programas  espía  o  parásitos)  y su origen
fueron  los programas legales llamados "adware", gratuitos a
cambio  de recibir publicidad: "De aquí, se pasó al programa
gratuito  que  detrás  lleva escondido "spyware" no lícito",
explica  Abraham  Pasamar, consultor del equipo de seguridad
esCERT, de Barcelona.

Inicialmente,   sólo  era  posible  infectarse  al  instalar
clientes  para  redes  P2P,  como Kazaa, programas de dudosa
procedencia  e  incluso  programas más serios como GetRight,
CuteFTP, Windows Media Player, DivX, mensajería instantánea,
etc.   Pero   hoy  un  "spyware"  puede  entrar  simplemente
pinchando  un  enlace,  si  se navega con Internet Explorer,
sobre  todo en webs pornográficas y de intercambio de música
o  programas  pirata. Roban información, abren un agujero al
exterior,  desconocido  por  el  usuario  y aprovechable por
terceras    personas,    ralentizan   la   conexión   y   el
funcionamiento  del  ordenador y, "si están mal programados,
prácticamente  acabarán bloqueándolo", explica Josep Llobet,
autor del "spyware" comercial "El Espía".

El  consultor  de  seguridad  Xavier  Caballé  afirma:  "Los
ordenadores  del  usuario  medio  son  auténticos  nidos  de
programas  espía,  que  se  han  instalado  cada  vez que se
visitaba   un  anuncio  o  buscaban  fondos  de  escritorio.
Cualquier  actividad  que se realize en este ordenador, como
escuchar  música o ejecutar programas, es susceptible de ser
grabada  y enviada a una entidad externa. El problema es que
los  datos  se  obtienen  con  engaño,  intrusión  y  sin la
autorización del usuario".

Según  Caballé, "los programas comerciales que se ofrecen de
forma  gratuita  son,  en  general,  sospechosos de contener
espías.  Para  muchas empresas, es más provechoso el negocio
de  recogida de información que la venta de programas: cogen
datos  sobre  individuos  que,  sumados  a  otros,  son  muy
valiosos,  ya  que salen de hechos reales y no de encuestas.
Es  un problema cada vez más importante y con más incidencia
que los virus. Según el "Spyware Report", hay espías en 9 de
cada 10 ordenadores y la media son 28 por equipo".

En  los  últimos años, la infección ha crecido y también los
programas  que  detectan  y  eliminan  "spyware", la mayoría
gratuitos,  como los populares Adware y Spybot, que acumulan
decenas  de millones de descargas en Download.com. Una nueva
generación  de anti-espías, representada por SywareBlaster y
SpywareGuard, no precisan que el usuario los active cada vez
que  quiera  limpiar  el  sistema,  sinó  que lo monitorizan
contínuamente, como un antivirus.

"Los  programas anti-espía están en una fase muy embrionaria
y   hacen  poco  más  que  detectar  firmas  específicas  en
ficheros,  "cookies",  o  el  registro  de  Windows.  Buscan
señales  directas. Aún no aplican mecanismos heurísticos, es
decir, que si un fichero contiene esto, aquello y otra cosa,
aunque  no  parezca "spyware" es muy seguro que lo sea. Pero
no  tardaremos en verlo, cuando los fabricantes de antivirus
se  den  cuenta  de  que  la  detección  de "spyware" es una
extensión  natural del antivirus", afirma Caballé. De hecho,
los antivirus empiezan ya a detectar también "spyware".

De  momento,  usar un sólo programa anti-espías no garantiza
la total desinfección. Es mejor combinarlo con otros, además
de   antivirus   y  cortafuegos.  Josep  Llobet  recomienda:
"Escanear el sistema cada semana. También después de visitar
lugares  marginales  o  cuando  se  observen anomalías en el
funcionamiento".  Los  expertos  coinciden  en que no se use
Internet  Explorer  o  bien  se  configure  a  un  nivel  de
seguridad  medio o alto: "Es el principal responsable de que
haya  tantos  infectados,  por  las  facilidades que da a la
instalación  remota  de  programas,  mediante  los controles
ActiveX.   Aunque  pide  la  conformidad  del  usuario  para
instalar nuevas extensiones, lo hace de una forma poco clara
y casi invita a decir que sí", explica Caballé.

Una  nueva  amenaza  son  los  programas "anti-spyware" que,
aprovechando  la  gran  demanda,  en  realidad  instalan más
"spyware".  Abundan  también  los  anti-espías gratuitos que
afirman  haber  detectado  un  peligroso  espía, que sólo se
elimina  comprando  el  programa  completo. Al final, el tal
espía no existe. Los usuarios se defienden creando listas de
programas sospechosos de estos fraudes, como la muy reputada
"Rogue/Suspect Anti-Spyware Products & Web Sites", que avisa
contra  los  programas anti-espía que se anuncian en Google,
la mayoría sospechosos de instalar "spyware".

Ante  esta  confusión, lo mejor es tener sentido común, dice
el  CERT  de  Estados  Unidos,  que recomienda no pinchar en
enlaces de anuncios, responder "no" a los cuadros de diálogo
extraños, no descargar programas de sitios no confiables, no
pinchar   en  enlaces  de  correo  basura  y  configurar  el
navegador para que limite los "pop-up" y "cookies". Añade el
CERT  de  Barcelona:  "Ser  más cuidadoso con qué enlaces se
pulsan.  Antes,  mirar  a  dónde  apuntan".  Y Josep Llobet:
"Utilizar    programas    anti-espía   que   tengan   cierta
reputación". Concluye Caballé: "Tenemos que pensar que nadie
regala  nada  y  que  hay  gente  sin  escrúpulos  capaz  de
cualquier cosa por engañar al usuario".

El  experto  Steve Gibson propone un código de conducta para
el  "spyware": "Que se instale con consentimiento y explique
quién es el autor, cuál será su actividad, dónde se alojará,
cómo  se  desinstala y a dónde irán los datos, sin coger más
información  que  la  necesaria.  Además,  las  conexiones a
Internet  de estos programas deben ser seguras, ya que abren
agujeros   aprovechables   por   terceras   personas,   como
Aureate/Radiate,  que  permite  cargar  y ejecutar programas
extraños  en  el  ordenador".  De todas formas, el riesgo de
daños   es  relativo,  dice  Caballé:  "Por  definición,  un
programa  espía  tratará de no hacer daño a la configuración
del  usuario, excepto quitarle un poco de ancho de banda. Le
interesa   continuar   cuanto   más  tiempo  posible  en  el
ordenador.  El  principal  daño  de  estos  programas es que
atentan contra nuestra privacidad".

En los Estados Unidos, se barajan diversos textos para crear
una  ley  sobre  el "spyware", con penas de prisión de hasta
cinco  años.  Utah  cuenta con su propia ley anti-espías, la
primera  del mundo, y pronto se le podrían unir California y
Iowa.  Pero  los  expertos  no  confían  en  las leyes. Dice
Abraham  Pasamar:  "Como  otros  delitos  por  Internet,  la
legislación  es  territorial y no ayuda a perseguirlo porque
el  servidor  está  en  un  país,  la  empresa  en otro, los
cómplices  en  otro.  Es  mejor  confiar  en  los códigos de
conducta y buenas prácticas de los usuarios".



CÓMO SABER QUE HAY UN ESPÍA EN EL ORDENADOR


El equipo de seguridad CERT de Estados Unidos reconoce estos
síntomas  como  señal de que un ordenador está infectado por
"spyware":


*  Durante  la  navegación,  se abren contínuamente ventanas
emergentes ("pop-ups").
* El navegador se dirige a páginas web diferentes de las que
se le indican.
* Aparecen nuevas e inesperadas barras de herramientas en el
navegador.
*  Aparecen  nuevos  e  inesperados  iconos en la bandeja de
tareas de la parte inferior de la pantalla.
* La página de inicio del navegador cambia repentinamente.
*  Cuando  se  pincha  el  botón  "búsqueda" en el navegador
aparece un motor de búsqueda diferente del habitual.
* Algunas teclas del ordenador no funcionan.
* Aparecen mensajes de error de Windows.
*  De  repente,  el  ordenador empieza a funcionar mucho más
despacio,   cuando  se  abren  programas  o  se  le  indican
acciones, como guardar un archivo.




Download.com
http://www.download.com/Adware-Spyware-Removal

Spyware Report
http://www.webroot.com/wb/company/pressmedia/pressreleases/20040804-spywarereport.php

Anti-spywares que agregan spyware
http://www.vsantivirus.com/lista-nospyware.htm

Spyware Warrior
http://www.spywarewarrior.com/rogue_anti-spyware.htm

Parásitos en nuestra computadora
http://www.vsantivirus.com/ev-parasitos.htm

Optout
http://grc.com/optout.htm

El-espía
http://www.el-espia.net

US-CERT
http://www.us-cert.gov/cas/tips/ST04-016.html

Center for Democracy and Technology
http://www.cdt.org/privacy/spyware

SpywareBlaster
http://www.javacoolsoftware.com/spywareblaster.html




Copyleft 2004 Mercè Molist.
Verbatim  copying,  translation  and  distribution  of  this
entire  article  is  permitted  in any medium, provided this
notice is preserved.

More information about the hacking mailing list