Principales Tendencias en Seguridad TI para el 2008

1. Los ataques continuarán siendo motivados por razones financieras y se volverán más “profesionales” en su naturaleza.

Desde finales del 2004, hemos estado observando una motivación detrás de los ataques enfocándose a las ganancias financieras. Creemos que esta tendencia continuará en el 2008, con técnicas avanzadas más “profesionales” por los autores de malware a través de módulos y reutilización de componentes de código malicioso. Por ejemplo, el grupo detrás de Zlob, proveyó una pista de las tendencias que se observarán – ellos fueron muy profesionales y pusieron un esfuerzo significativo en asegurar que no fueran detectados por AV-software el mayor tiempo posible, lo cual creemos, indica que fue creado manualmente por varias personas.

Un posible cambio se observará en cómo las diferentes familias de códigos maliciosos empezarán a trabajar combinadas, como un sistema de infraestructura plug-in, en lugar de estar peleándose unas contra las otras (como está ocurriendo actualmente).

Otras técnicas en esta área serán las alteraciones en el contenido malicioso del lado del servidor por cada requerimiento, así como el envío de contenido malicioso solo una vez por dirección IP y entonces entregar contenido seguro en los subsecuentes requerimientos que se hagan hacia dicha dirección IP.

Del mismo modo, las explotaciones basadas en Web, se están volviendo más estables. En el pasado, los sitios maliciosos, probaban todos los ataques que tenían, uno después del otro, con la esperanza que uno de ellos tuviera éxito. En el futuro, veremos más y más sitios maliciosos que estarán confirmando, si su cliente (la víctima), tiene los últimos parches de seguridad instalados, y solamente si es vulnerable, el ataque se enviará.

La naturaleza del profesionalismo se ve confirmada por la disponibilidad creciente de “mercados negros”, que venden las bases de datos robadas, tales como tarjetas de crédito, cuentas bancarias, etc.

2. Los vectores de ataque se volverán todavía más indirectos.

Un cambio significativo en cómo los ataques son llevados a cabo, esta saliendo a flote, y será, sin lugar a dudas, más prominente en el 2008. Estaremos viendo ataques “indirectos” de escenarios múltiples, con un declive significativo en infecciones directas donde un malware, maneja las múltiples partes de un ataque.

Veremos un incremento en los ataques que ocultan el código malicioso en archivos multimedia distribuidos sobre servicios Web confiables. Esto se está volviendo más popular mientras se mantienen debajo del radar de los vendedores de seguridad por un largo tiempo.

Dependiendo de cómo Microsoft empuje agresivamente su tecnología Silverlight, podría convertirse en una nueva plataforma vulnerable para esconder el contenido malicioso y los ataques de desempeño Cross-Site-Scripting (solamente el Adobe Flash’s ActionScript es usado para esos propósitos actualmente). Pero esto solamente ocurrirá si Microsoft presiona fuerte; de otra manera Flash seguirá siendo el estándar de facto, que es hoy en día.

De la misma manera, sitios Proxy confiables de servicios, como los de traducción, pueden comenzar a utilizarse indebidamente para correr códigos maliciosos en el contexto de un sitio confiable. En el 2007, vimos el hospedaje de contenido sospechoso – en primera instancia pornográfico – encaminado a comprometer la educación e incluso algunos sitios gubernamentales. Debido a la falta de presupuestos y la implementación de seguridad en estos sectores, esta tendencia probablemente continuará.

De forma similar, el generalizado ataque basado en MPack, en el sur de Europa ocurrido durante la primavera y el verano pasado, siguió una conducta lógica similar de infectar “silenciosamente” sitios confiables redirigiéndolos hacia un sitio malicioso. Los atacantes pudieron haber hospedado más códigos maliciosos directamente en los Sites comprometidos, en lugar de solamente redirigirlos con un IFRAME, y continuarán haciéndolo en el futuro.

Los ataques dirigidos hacia redes corporativas, podrían incrementarse, en forma de computadoras botnet, corriendo en redes confiables y permitiendo a los atacantes, indirectamente, lanzar ataques de phishing en contra de sus victimas actuales desde una red confiable.

3. Las plataformas de software alternativo, serán atacadas en forma más frecuente.

Las vulnerabilidades día cero en componentes principales, por ejemplo en sistemas operativos y browsers de Internet, son cada vez menos importantes y el resto de las vulnerabilidades se vuelven más difíciles de explotar. En marzo del 2007, la vulnerabilidad ANI-header, fue la única verdaderamente crítica, basada en el buffer. En contraste, las últimas vulnerabilidades VML (heap buffer-based), necesitarán un ataque de dos fases con archivos gráficos VML malformados, para poder explotar. La característica Windows Vista"s Address Space Layout Randomization (ASLR) seguramente será otra razón de porqué las vulnerabilidades “simples” serán menos en el 2008.

Esto puede atraer la atención del atacante hacia software de terceros instalado típicamente en la computadora del usuario. Desde luego, un significativo número de explotaciones en contra de browsers alternativos o media players, ya existen en su naturaleza, pero la proporción entre este grupo, comparado contra las explotaciones de los productos de Microsoft, probablemente vaya creciendo a favor del grupo de software alternativo.

Los usuarios a menudo no están conscientes del software no-Microsoft que tienen instalado, y sin un conveniente mecanismo de actualizaciones, no saben cómo mantener su protección actual.

Otro cuestionamiento en esta área, es que tan fuerte será la adopción del browser Safari de Apple en la plataforma Windows. Y si Apple lo pondrá en paquete con el iTunes, su instalación generalizada podría dar lugar a más ataques en contra de esta nueva alternativa de browser en 2008.

Esperamos un futuro crecimiento en vulnerabilidades Cross-Site-Scripting en 2008, debido a la creciente adopción de ricas tecnologías para el cliente, también conocido como AJAX en los sitios más populares de la Web. Esta creciente interactividad entre la interpretación del browser de estos sitios y las aplicaciones del Web serán probablemente mal empleados para ocultar la fuga de datos.

Las compañías con planes de cambiar a Vista, probablemente lo harán cuando se de la disponibilidad de SP1 (planeada para el primer trimestre del 2008). Vista se convertirá en la versión predeterminada de Windows, el próximo año (en lugar de Windows XP), lo que seguramente ocurrirá, su incrementada base de usuarios, llevará a los autores de malware a adaptarse a las nuevas características específicas de Vista. Por ejemplo si es la primera versión de Windows, que se envía con el soporte. Entonces el malware para la plataforma .NET puede pasar de su actual estado de Prueba de Concepto, a producción. Del mismo modo, la tecnología de 64-bit, está ya disponible en todos los CPUs de las PCs (tanto Intel como AMD), y dependiendo del soporte Vista para 64-bit (el cual es mejor que el de Windows XPs), más aplicaciones de terceros, serán direccionadas a los 64-bit, haciéndola una plataforma más atractiva para el usuario final. Tan pronto como esto suceda, el malware de 64-bit pasará de su estado PoC a su producción.

Cuando los usuarios caseros adopten significativamente Windows Vista en 2008, los atacantes tornarán su atención hacia los usuarios corporativos, buscando una víctima que esté corriendo un sistema menos seguro (posibilidad de derechos administrativos en lugar de  UAC, no ASLR, etc.). Si esto sucede, sólo será un cambio temporal y pequeño.

4. Los malware de tipo repetitivo desaparecerán, las botnets podrían disminuir substancialmente.

Los Troyanos, keyloggers y spyware de robo de datos/identidad seguirán existiendo y serán el tipo de malware más prevaleciente.

Un objetivo importante para el spyware son las cuentas de juegos en línea. World of Warcraft, Lineage y Second Life permiten volver logros virtuales en dinero real. El Mercado de las apuestas en línea está creciendo fuertemente, especialmente en China (paralelamente a la disponibilidad del acceso a Internet de banda ancha) – y los ataques de malware hacia los jugadores crecerá también.

Virus y gusanos continuarán muriendo, debido a la propagación de los métodos de detección like-radar. Estos métodos de distribución para estos tipos de ataques son muy ruidosos y están empezando a ser remplazados por troyanos.

Bots y backdoors empezarán a decrecer en presencia – probablemente debido al incremento de uso de firewalls de escritorio. El mejorado firewall de Vista, posiblemente contribuya a su decrecimiento. A través del uso del protocolo IRC, que es todavía fuerte entre los bots de hoy en día, el creciente uso de firewalls de escritorio y quizá el movimiento hacia usuarios corporativos, podría guiar a un uso más prevaleciente del http. La disponibilidad de Windows Server 2008 el próximo año, el cual será enviado con Network Access Protection (NAP) incluido, decrecerá la ya baja prevalencia de los bots en los espacios corporativos.

Autor: Paul A. Henry (*)  Fuente: www.infochannel.com.mx 

* El autor es Vicepresidente de Evangelización de Tecnología de Secure Computing.