Un nuevo virus de macro, W97M/Caligula, roba los ficheros de llaves
del popular programa de encriptación PGP. Un ataque posterior a estos
ficheros por fuerza bruta podría permitir abrir los archivos
encriptados.
La multinacional de la seguridad Data Fellows (http://www.data-fellows.com)
ha hecho público un análisis en el que Katrin Tocheva, uno de sus
técnicos, describe este virus de macro. Entre los efectos visibles
encontramos que el 31 de cada mes muestra el siguiente mensaje:
WM97/Caligula (c) Opic [CodeBreakers 1998]
No cia,
No nsa,
No satellite,
Could map our veins.
Otra secuela que el virus deja a su paso la podemos observar en la
información de los documentos infectados que pasa a ser la siguiente:
Title: WM97/Caligula Infection
Subject: A Study In Espionage Enabled Viruses
Author: Opic
Keywords: / Caligula / Opic / Codebreakers /
Comments: The Best Security Is Knowing The Other
Guy Hasn’t Got Any
Pero sin duda la parte que mas ha sorprendido de este virus es
su habilidad para copiar el fichero secreto de llaves de PGP
(SECRING.SKR) y posterior envío vía FTP al servidor donde se
aloja su creador (codebreakers.org).
El análisis de Katrin Tocheva concluye comentando que mediante
un ataque por fuerza bruta a esos ficheros se podría encontrar
la frase utilizada como clave, con lo cual sería factible el
abrir los ficheros encriptados por la víctima.
¿Cuál es la verdadera repercusión de este virus?
Una utilización efectiva de este virus cabe dentro del apartado de
troyano dirigido a un sistema concreto. Aun en ese caso el atacante
debería poder llegar a interceptar los mensajes encriptados de la
víctima. No tiene mucha utilidad para el autor que el virus se
distribuya entre usuarios desconocidos. Para hacerlo efectivo el
virus debería informar al atacante de los sistemas infectados y
abrir una puerta trasera a través de la cual pudiera robar también
los ficheros encriptados.
Así mismo tendría que contar con que la víctima utilice una frase
clave muy debil que hiciera factible un ataque por diccionario. El
ataque por fuerza bruta resulta, a priori, poco recomendable si
tenemos en cuenta la longitud que puede alcanzar una frase.
Mucho me temo que la única razón por la que este virus roba el
fichero de PGP es para convertirse en el primero con esta
característica y obtener así la máxima notoriedad.
Un ataque más efectivo podría llevarse a cabo introduciendo
capacidades de «keylogger», es decir, capturar las letras que
vamos pulsando. De esta manera no tendríamos que recurrir al ataque
por diccionario o fuerza bruta para obtener la frase clave. Otras
opciones pasan por aprovechar que algunos sistemas permiten acceder
a páginas de memoria o archivos temporales donde podemos encontrarnos
las passwords sin cifrar.
Más información:
Análisis del virus:
http://www.data-fellows.com/v-descs/calig.htm
FAQ sobre la frase clave en PGP:
http://www.stack.nl/~galactus/remailers/passphrase-faq.html
Deja una respuesta