martes, 23 de mayo de 2017

Ransomware: Y algo más sobre cómo funciona una computadora

El viernes 12 de mayo un gusano llamado WannaCry atracó en todo el mundo a redes de computadoras Windows a través de una vulnerabilidad del protocolo SMBv1 descubierta por la NSA (EternalBlue) y luego robada por hackers denominados The Shadow Brokers que hicieron circular la información en Marzo. El gusano, además de replicarse por las red de compartir archivos de Windows, encriptaba de manera fuerte con un esquema de clave pública/privada la mayoría de los archivos de la computadora. Para recuperarlo se debía pagar un rescate (ransom) a través de la crypto-moneda BitCoin que ascendía a aproximadamente u$s300.

El párrafo anterior describe, de manera técnica, un episodio de ataque a computadoras de alcance mundial que paralizó durante días a empresas de primera línea como Telefónica de España  y también ministerios públicos como la NHS de Inglaterra.

Parecería que sólo un grupo muy pequeño de personas es capaz de entender y actuar en consecuencia ante tanto detalle técnico computacional. Sin embargo, con algunos elementos que explican cómo funcionan las computadoras podemos entender, defendernos y hasta solucionar los efectos de este ataque.
  • “atracó redes de computadoras Windows”.
    ¿Hay otros Sistemas Operativos que no sean atacados por WannaCry?
    Hay muchos Sistemas Operativos que corren sobre las computadoras que usamos y que permiten aprovechar plenamente el recurso de hardware (la computadora y sus periféricos) y que incorporan todos las herramientas de ofimática, navegación, programación, edición de audio, video e imágenes que se necesitan. Un ejemplo es GNU/Linux, que además es libre.
  • “aprovechaba una vulnerabilidad del protocolo SMBv1”.
    ¿Podemos deshabilitar el protocolo SMBv1?
    Por supuesto y eso nos asegura que nuestra máquina o la de la organización donde trabajamos no sea afectada.
  • “vulnerabilidad del protocolo SMBv1 descubierta por la NSA”.
    ¿Se solucionó esa vulnerabilidad?
    Si, claro, Microsoft solucionó esa vulnerabilidad en Marzo y la podemos instalar en todas las máquinas a través de las actualizaciones de Windows.
  • “la máquina encriptaba con un esquema de clave pública/privada y de manera fuerte la mayoría de los archivos de la computadora”.
    ¿Es posible desencriptar los archivos?
    Para poder encriptar los archivos es necesario que en algún lugar de la memoria RAM de la computadora esté la clave de encriptado. Si el proceso que encripta los archivos aún está latente, la memoria podría contener los elementos para reconstruir la clave, ya que en la mayoría de los casos, liberar la memoria no significa sobre-escribir la memoria. A partir de esta idea un conjunto de desarrolladores escribieron un programa para buscar la clave en la memoria y desencriptar todos los archivos.
Después de tanto tecnicismo, paranoia y ríos de tinta escritos en los medios de comunicación, tal vez resulta útil mostrar de manera clara cuáles son los elementos de cómo funciona una computadora que resultan importantes en este ataque:
  1. La computadora y sus periféricos pueden ser manejados por otros Sistemas Operativos.
  2. Podemos deshabilitar las partes del Sistema Operativo que tienen problemas.
  3. Hay actualizaciones periódicas de los Sistemas Operativos que solucionan las vulnerabilidades.
  4. La memoria RAM está llena de datos que no son sobreescritos, y allí se puede encontrar información importante.
Educar en Computación es fundamental para vivir en un mundo cada vez más mediado por computadoras, cada vez más conectado por redes de datos y cada vez más agresivo. Con algunos elementos básicos podemos enseñar a nuestras alumnas y alumnos a defenderse y vivir mejor en esta era.

Nicolás Wolovick
Profesor de Ciencias de la Computación
FaMAF – Universidad Nacional de Córdoba

Publicado originalmente en http://adicra.com.ar/ransomware-wolovick
Related Posts Plugin for WordPress, Blogger...

html share this