Por Paul A. Henry, Vicepresidente de Evangelización de Tecnología de Secure Computing
1. Los ataques continuarán siendo motivados por razones financieras y se volverán más “profesionales” en su naturaleza
Desde finales del 2004, hemos estado observando una motivación detrás de los ataques enfocándose a las ganancias financieras. Creemos que esta tendencia continuará en el 2008, con técnicas avanzadas más “profesionales” por los autores de malware a través de módulos y reutilización de componentes de código malicioso. Por ejemplo, el grupo detrás de Zlob, proveyó una pista de las tendencias que se observarán – ellos fueron muy profesionales y pusieron un esfuerzo significativo en asegurar que no fueran detectados por AV-software el mayor tiempo posible, lo cual creemos, indica que fue creado manualmente por varias personas.
• Un posible cambio se observará en como las diferentes familias de códigos maliciosos empezarán a trabajar combinadas, como un sistema de infraestructura plug-in, en lugar de estar peleándose unas contra las otras (como esta ocurriendo actualmente).
• Otras técnicas en esta área serán las alteraciones en el contenido malicioso del lado del servidor por cada requerimiento, así como el envío de contenido malicioso solo una vez por dirección IP y entonces entregar contenido seguro en los subsecuentes requerimientos que se hagan hacia dicha dirección IP.
• Del mismo modo, las explotaciones basadas en Web, se están volviendo más estables. En el pasado, los sitios maliciosos, probaban todos los ataques que tenían, uno después del otro, con la esperanza que uno de ellos tuviera éxito. En el futuro, veremos mas y más sitios maliciosos que estarán confirmando, si su cliente (la victima), tiene los últimos parches de seguridad instalados, y solamente si es vulnerable, el ataque se enviará.
• La naturaleza del profesionalismo se ve confirmada por la disponibilidad creciente de “mercados negros”, que venden las bases de datos robadas, tales como tarjetas de crédito, cuentas bancarias etc.
2. Los vectores de ataque se volverán todavía más indirectos
• Un cambio significativo en como los ataques son llevados a cabo, esta saliendo a flote, y será, sin lugar a dudas, mas prominente en el 2008. Estaremos viendo ataques “indirectos” de escenarios múltiples, con un declive significativo en infecciones directas donde un malware, maneja las múltiples partes de un ataque.
• Veremos un incremento en los ataques que ocultan el código malicioso en archivos multimedia distribuidos sobre servicios Web confiables. Esto se esta volviendo mas popular mientras se mantienen debajo del radar de los vendedores de seguridad por un largo tiempo.
• Dependiendo de como Microsoft empuje agresivamente su tecnología Silverlight, podría convertirse en una nueva plataforma vulnerable para esconder el contenido malicioso y los ataques de desempeño Cross-Site-Scripting (solamente el Adobe Flash’s ActionScript es usado para esos propósitos actualmente). Pero esto solamente ocurrirá si Microsoft presiona fuerte; de otra manera Flash seguirá siendo el estándar de facto, que es hoy en día.
• De la misma manera, sitios Proxy confiables de servicios, como los de traducción, pueden comenzar a utilizarse indebidamente para correr códigos maliciosos en el contexto de un sitio confiable. En el 2007, vimos el hospedaje de contenido sospechoso – en primera instancia pornográfico – encaminado a comprometer la educación e incluso algunos sitios gubernamentales. Debido a la falta de presupuestos y la implementación de seguridad en estos sectores, esta tendencia probablemente continuará.
• De forma similar, el generalizado ataque basado en MPack, en el sur de Europa ocurrido durante la primavera y el verano pasado, siguió una conducta lógica similar de infectar “silenciosamente” sitios confiables redirigiéndolos hacia un sitio malicioso. Los atacantes pudieron haber hospedado más códigos maliciosos directamente en los Sites comprometidos, en lugar de solamente redirigirlos con un IFRAME, y continuarán haciéndolo en el futuro.
• Los ataques dirigidos hacia redes corporativas, podrían incrementarse, en forma de com***doras botnet, corriendo en redes confiables y permitiendo a los atacantes, indirectamente, lanzar ataques de phishing en contra de sus victimas actuales desde una red confiable.
3. Las plataformas de software alternativo, serán atacadas en forma más frecuente
(“Alternativo” se refiere a cualquier software de aplicación, distinto a los de configuración por default como Windows XP 32bit+Internet Explorer+Windows Media Player.)
• Las vulnerabilidades día cero en componentes principales, por ejemplo en sistemas operativos y browsers de Internet, son cada vez menos importantes y el resto de las vulnerabilidades se vuelven más difíciles de explotar. En marzo del 2007, la vulnerabilidad ANI-header, fue la única verdaderamente crítica, basada en el buffer. En contraste, las últimas vulnerabilidades VML (heap buffer-based), necesitarán un ataque de dos fases con archivos gráficos VML malformados, para poder explotar. La característica Windows Vista's Address Space Layout Randomization (ASLR) seguramente será otra razón de porque las vulnerabilidades “simples” serán menos en el 2008.
• Esto puede atraer la atención del atacante hacia software de terceros instalado típicamente en la com***dora del usuario. Desde luego, un significativo numero de explotaciones en contra de browsers alternativos o media players, ya existen en su naturaleza, pero la proporción entre este grupo, comparado contra las explotaciones de los productos de Microsoft, probablemente vaya creciendo a favor del grupo de software alternativo.
• Los usuarios a menudo no están conscientes del software no-Microsoft que tienen instalado, y sin un conveniente mecanismo de actualizaciones, no saben como mantener su protección actual.
• Otro cuestionamiento en esta área, es que tan fuerte será la adopción del browser Safari de Apple en la plataforma Windows. Y si Apple lo pondrá en paquete con el iTunes, su instalación generalizada podría dar lugar a más ataques en contra de esta nueva alternativa de browser en 2008.
• Esperamos un futuro crecimiento en vulnerabilidades Cross-Site-Scripting en 2008, debido a la creciente adopción de ricas tecnologías para el cliente, también conocido como AJAX en los sitios más populares de la Web. Esta creciente interactividad entre la interpretación del browser de estos sitios y las aplicaciones del Web serán probablemente mal empleados para ocultar la fuga de datos.
• Las compañías con planes de cambiar a Vista, probablemente lo harán cuando se de la disponibilidad de SP1 (planeada para el Primer Trimestre del 2008). Vista se convertirá en la versión predeterminada de Windows, el próximo año (en lugar de Windows XP), lo que seguramente ocurrirá, su incrementada base de usuarios, llevara a los autores de malware a adaptarse a los nuevas características específicas de Vista. Por ejemplo si es la primera versión de Windows, que se envía con el soporte. entonces el malware para la plataforma .NET puede pasar de su actual estado de Prueba de Concepto, a producción. Del mismo modo, la tecnología de 64-bit, esta ya disponible en todos los CPU´s de las PCs (tanto Intel como AMD), y dependiendo del soporte Vista para 64-bit (el cual es mejor que el de Windows XP’s), más aplicaciones de terceros, serán direccionadas a los 64-bit, haciéndola una plataforma más atractiva para el usuario final. Tan pronto como esto suceda, el malware de 64-bit pasará de su estado PoC a su producción.
• Cuando los usuarios caseros adopten significativamente Windows Vista en 2008, los atacantes tornarán su atención hacia los usuarios corporativos, buscando una victima que este corriendo un sistema menos seguro (posibilidad de derechos administrativos en lugar de UAC, no ASLR, etc.). Si esto sucede, solo será un cambio temporal y pequeño.
4. Los malware de tipo repetitivo desaparecerán, las botnets podrían disminuir substancialmente.
• Los Troyanos, keyloggers y spyware de robo de datos/identidad seguirán existiendo y serán el tipo de malware más prevaleciente.
• Un objetivo importante para el spyware son las cuentas de juegos en línea. World of Warcraft, Lineage y Second Life permiten volver logros virtuales en dinero real. El Mercado de las apuestas en línea esta creciendo fuertemente, especialmente en China (paralelamente a la disponibilidad del acceso a Internet de banda ancha) – y los ataques de malware hacia los jugadores crecerá también.
• Virus y gusanos continuarán muriendo, debido a la propagación de los métodos de detección like-radar. Estos métodos de distribución para estos tipos de ataques son muy ruidosos y están empezando a ser remplazados por troyanos.
• Bots y backdoors empezarán a decrecer en presencia – probablemente debido al incremento de uso de firewalls de escritorio. El mejorado firewall de Vista, posiblemente contribuya a su decrecimiento. A través del uso del protocolo IRC, que es todavía fuerte entre los bots de hoy en día, el creciente uso de firewalls de escritorio y quizá el movimiento hacia usuarios corporativos, podría guiar a un uso más prevaleciente del http. La disponibilidad de Windows Server 2008 el próximo año, el cual será enviado con Network Access Protection (NAP) incluido, decrecerá la ya baja prevalencia de los bots en los espacios corporativos.
