[noticias seguridad UPM] Ejecutables – 08072021

1- Firmas digitales en Ejecutables

Un ejecutable o binario es un fichero con instrucciones para ejecutar un programa.

Las firmas digitales son bloques de información cifrada para que el usuario final pueda identificar al creador de ese ejecutable y pueda comprobar si se ha modificado desde que se ha aplicado la firma digital.

2- ¿Cómo se comprueba una firma digital?

Hoy en día, todos los antivirus comprueban el hash de los diferentes ejecutables al momento de su descarga. Si el hash estuviera listado en una BBDD de malware o el ejecutable estuviera firmado por un “firmante desconocido”, se evitará su ejecución o se eliminará inmediatamente.

De hecho, muchas veces desarrollando nuestro propios ejecutables en Windows en nuestro laboratorio nos hemos visto en situaciones en las que el antivirus de Windows elimina el ejecutable sin previo aviso, informandonos de que contenía malware o que estaba autofirmado.

Si no tuviéramos antivirus o un ejecutable que pensamos que es sospechoso lograse “bypassear” el antivirus, antes de ejecutar ese programa debemos comprobar su firma digital para verificar que vamos a ejecutar el binario que realmente queremos ejecutar.

2.1- Herramientas online

La forma más fácil de comprobar que un ejecutable es seguro es a través de herramientas de fiar online como:

1 – https://www.virustotal.com/gui/

2- https://www.hybrid-analysis.com/

Las fotografías son resultados, en ambas páginas web, de la comprobación del instalador del navegador de Firefox.

2.2- Comprobar firma en windows

Desde el explorador de archivos de Windows, se pueden comprobar las diferentes firmas digitales:

  1. Haciendo click derecho en el ejecutable, abajo del todo veremos la opción propiedades. Si hacemos click ahí veremos:
  1. El siguiente paso será pulsar en el botón detalles, y después en “Ver Certificado”, y veremos la siguiente información:

Como podemos ver, el certificado fue emitido por DigiCert para Mozilla Corporation.

3- ¿Por qué deberíamos tener tanto cuidado a la hora de ejecutar/instalar programas?

Un binario es capaz de realizar cambios en el sistema y de dar el control absoluto sobre el sistema a una persona mala.

Es difícil que un binario descargado desde la web de una empresa importante como Firefox o microsoft se vea alterado , pero se podrían dar las siguientes situaciones que alterarían ese binario:

3.1- Webs que no son de fiar

Este es el origen de los problemas con ejecutables más importante.

Hay muchísimas web en las que cualquier usuario puede subir sus ejecutables para la comunidad. Esto es un problema muy grande porque en muchos casos esos programas son alterados para insertar malware en ellos y este tipo de webs es el sitio perfecto para propagar malware.

Si vamos a instalarnos Spotify en nuestra máquina, tenemos que fijarnos muy bien de que en la página en donde nos lo estamos instalando sea la oficial de Spotify y no otra cualquiera.

3.2- MITM (Man In The Middle)

Con este ataque, un atacante se podría poner en medio de la comunicación, entre la página web a la que estamos accediendo y entre nosotros, de tal forma que interceptará todas nuestras solicitudes. Si descargaramos un ejecutable, de Firefox por ejemplo, el atacante podría interceptar esa solicitud y modificarla para que en vez de descargarnos ese ejecutable de Firefox, nos descarguemos un ejecutable suyo para tener el control total en nuestro PC.

4- CONCLUSIÓN

Los ejecutables son necesarios para nuestras máquinas pero a la vez muy peligrosos. Ante la más mínima duda, tenemos que comprobar las firmas digitales de el binario que nos estamos descargando y analizarlo para verificar que no contiene malware.

En analizar un ejecutable, en alguna de las dos webs que os hemos anotado anteriormente, se tarda menos de 5 segundos y nos podemos ahorrar sustos muy grandes. Sobre todo, ese malware se podría propagar entre nuestros compañeros y por toda la universidad, ocasionando graves daños.

[noticias seguridad UPM] Acortadores URL – 02062021

 SHORT URL ¿QUÉ ES?

Es una redirección 301 que apunta desde la url acortada hacia la url original. Vulgarmente, es una dirección url de pocos caracteres que apunta a otra dirección url mucho más extensa. 

Poder acortar una URL de 100 caracteres en una de 15 es algo que nos puede ahorrar mucho tiempo en ciertas situaciones y que puede ser realmente útil. Pero, como veremos en el siguiente apartado, una url acortada podría tener el funcionamiento del caballo de Troya.

¿QUÉ INCONVENIENTES TIENE?

Este tipo de urls es muy utilizado por atacantes para redirigirte a sitios web malignos, ya sea de phishing o de malware. 

En mensajes anteriores ya hemos hablado de vigilar el dominio que se nos presenta en un mensaje de correo y evitar que nos lleve a algún sitio en el que no confiemos. Pero ¿cómo confiar en una URL acortada si no muestra el dominio real?

EJEMPLO:

A través de un email o a través de la navegación por internet, nos encontramos con un url acortado de este estilo: https://cutt.ly/XXXXX , sean X caracteres alfanuméricos.

Es una url minúscula que podría ser de fiar perfectamente. Pero…

¿Como podemos saber si la url acortada es de fiar?

PASO 1 : Comprobar dónde nos está llevando la URL

Hay muchos sitios web que nos dicen dónde nos está llevando la URL, en este caso utilizaremos unshorten.me, que además en la mayoría de los casos nos dará una miniatura de lo que hay en la web :

PASO 2 : ¿Seguimos con dudas?

Si hemos obtenido la URL de destino y aún nos quedamos con la duda de si esa URL es de fiar, lo mejor es analizarla en https://www.virustotal.com/gui/home/url :

Como podemos ver, la URL está listada por 22 listas negras diferentes y está categorizada como phishing. Una vez observado esto, deberíamos borrar el enlace corto y no acceder nunca. 

Si accedieramos, veríamos un sitio web de phishing, muy bien hecho, para Netflix:

-En el caso de navegar con la UPM (ya sea dentro o con la VPN) nos bloquearía el acceso el firewall:

-En el caso de que estemos navegando fuera de la UPM, veríamos la siguiente página y nos podrían robar el usuario y contraseña:

Otro ejemplo: SMS

Este tipo de ataques también están presentes en los SMS:

Como podemos ver, nos ha llegado un SMS de carrefour con un short url avisándonos de una oferta:

Si analizamos la short url, nos marcará una URL de destino también bastante sospechosa:

Como la URL no parece pertenecer a Carrefour y seguimos con dudas, nos vamos a analizarlo a VirusTotal.

Después de analizarlo, parece que la URL es de fiar y, si entramos, es una promoción de Carrefour.

 CONCLUSIÓN

Los enlaces cortos nos pueden ahorrar muchísimo tiempo. Pero antes de acceder a un URL acortado, tenemos que comprobar hacia dónde nos está llevando y la veracidad (como vimos en el correo anterior de Phishing también) de la página web hacía la que nos está llevando. 

Muchísima de nuestra información está informatizada y tenemos que concienciarnos y hacer todo lo posible por no caer en ningún ataque. Porque esta vez puede ser que sólo nos roben el usuario y contraseña de Netflix, pero la siguiente vez puede que nos metan un ransomware que afecte a toda la UPM y que llegue a dejar inutilizada la Universidad.

Existen extensiones para los navegadores que nos “desacortan” las URL como linkpeelr:

Entre los acortadores, los más conocidos son:

Bitly

short.upm.es

Tiny.cc

Is.gd

Ow.ly

Google URL shortener

Trim

Acortador de Metricool

ADF.ly

Kutt.it

cutt.ly