Home » Boletines » [noticias seguridad UPM] Ejecutables – 08072021

[noticias seguridad UPM] Ejecutables – 08072021

1- Firmas digitales en Ejecutables

Un ejecutable o binario es un fichero con instrucciones para ejecutar un programa.

Las firmas digitales son bloques de información cifrada para que el usuario final pueda identificar al creador de ese ejecutable y pueda comprobar si se ha modificado desde que se ha aplicado la firma digital.


2- ¿Cómo se comprueba una firma digital?

Hoy en día, todos los antivirus comprueban el hash de los diferentes ejecutables al momento de su descarga. Si el hash estuviera listado en una BBDD de malware o el ejecutable estuviera firmado por un “firmante desconocido”, se evitará su ejecución o se eliminará inmediatamente.

De hecho, muchas veces desarrollando nuestro propios ejecutables en Windows en nuestro laboratorio nos hemos visto en situaciones en las que el antivirus de Windows elimina el ejecutable sin previo aviso, informandonos de que contenía malware o que estaba autofirmado.

Si no tuviéramos antivirus o un ejecutable que pensamos que es sospechoso lograse “bypassear” el antivirus, antes de ejecutar ese programa debemos comprobar su firma digital para verificar que vamos a ejecutar el binario que realmente queremos ejecutar.

2.1- Herramientas online

La forma más fácil de comprobar que un ejecutable es seguro es a través de herramientas de fiar online como:

1 – https://www.virustotal.com/gui/

2- https://www.hybrid-analysis.com/

Las fotografías son resultados, en ambas páginas web, de la comprobación del instalador del navegador de Firefox.

2.2- Comprobar firma en windows

Desde el explorador de archivos de Windows, se pueden comprobar las diferentes firmas digitales:

  1. Haciendo click derecho en el ejecutable, abajo del todo veremos la opción propiedades. Si hacemos click ahí veremos:
  1. El siguiente paso será pulsar en el botón detalles, y después en “Ver Certificado”, y veremos la siguiente información:

Como podemos ver, el certificado fue emitido por DigiCert para Mozilla Corporation.


3- ¿Por qué deberíamos tener tanto cuidado a la hora de ejecutar/instalar programas?

Un binario es capaz de realizar cambios en el sistema y de dar el control absoluto sobre el sistema a una persona mala.

Es difícil que un binario descargado desde la web de una empresa importante como Firefox o microsoft se vea alterado , pero se podrían dar las siguientes situaciones que alterarían ese binario:

3.1- Webs que no son de fiar

Este es el origen de los problemas con ejecutables más importante.

Hay muchísimas web en las que cualquier usuario puede subir sus ejecutables para la comunidad. Esto es un problema muy grande porque en muchos casos esos programas son alterados para insertar malware en ellos y este tipo de webs es el sitio perfecto para propagar malware.

Si vamos a instalarnos Spotify en nuestra máquina, tenemos que fijarnos muy bien de que en la página en donde nos lo estamos instalando sea la oficial de Spotify y no otra cualquiera.

3.2- MITM (Man In The Middle)

Con este ataque, un atacante se podría poner en medio de la comunicación, entre la página web a la que estamos accediendo y entre nosotros, de tal forma que interceptará todas nuestras solicitudes. Si descargaramos un ejecutable, de Firefox por ejemplo, el atacante podría interceptar esa solicitud y modificarla para que en vez de descargarnos ese ejecutable de Firefox, nos descarguemos un ejecutable suyo para tener el control total en nuestro PC.


4- CONCLUSIÓN

Los ejecutables son necesarios para nuestras máquinas pero a la vez muy peligrosos. Ante la más mínima duda, tenemos que comprobar las firmas digitales de el binario que nos estamos descargando y analizarlo para verificar que no contiene malware.

En analizar un ejecutable, en alguna de las dos webs que os hemos anotado anteriormente, se tarda menos de 5 segundos y nos podemos ahorrar sustos muy grandes. Sobre todo, ese malware se podría propagar entre nuestros compañeros y por toda la universidad, ocasionando graves daños.