ANALISIS DE LA PRESENCIA DE MALWARE EN LAS DESCARGAS P2P

INTECO-CERT Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información E-CONFIANZA

Marzo 2010

El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas Tecnologías de la Información y la Comunicación (TIC) en España, en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico. Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. Calidad TIC. INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en
Análisis de la presencia de malware en las descargas P2P

resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software. Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.

Análisis de la presencia de malware en las descargas P2P

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

Análisis de la presencia de malware en las descargas P2P

INDICE
INDICE 1.  RESUMEN EJECUTIVO 1.1.  1.2.  2.  Marco de referencia Resultados más destacados del análisis 2  4  4  5  8  8  9  10  11  11  12  19  20  22  NSRL Hashkeeper Motores AntiVirus Analizador de configuración de INTECO: CONAN Virus Total (VT) Malware Hash Registry (MHR) Cruce con la Inteligencia Colectiva por Hash (ICH) Cálculo dinámico de valoración Analizador Multimedia 23  23  23  24  24  24  25  25  25  Objetivo del proyecto Objetivos secundarios y objetivos detallados Malware Redes P2P

INTRODUCCIÓN 2.1.  Instituto Nacional de Tecnologías de la Comunicación 2.1.1.  2.1.2.  2.2.  2.2.1.  2.2.2. 

Estado del arte

3. 

DISEÑO METODOLÓGICO 3.1.  3.2.  Descargas y almacenamiento Análisis 3.2.1.  3.2.2.  3.2.3.  3.2.4.  3.2.5.  3.2.6.  3.2.7.  3.2.8.  3.2.9.  3.2.10.  3.2.11.  3.2.12.  3.3. 

Envío del fichero y análisis en la Inteligencia Colectiva (ICFTP) 25  Analizador automático de software de INTECO: JENNINGS 26  Análisis manual de la muestra 26  26  27  27  27  27 

Explotación e interpretación de resultados

4. 

RESULTADOS DEL ANÁLISIS DE MALWARE EN REDES P2P 4.1.  Puntos a considerar en la interpretación de resultados 4.1.1.  4.1.2.  Ficheros descargados Ficheros catalogados y analizados

Análisis de la presencia de malware en las descargas de redes P2P

2

4.1.3.  4.2.  4.2.1.  4.2.2.  4.3.  4.3.1.  4.3.2.  4.3.3.  4.3.4.  4.3.5.  5.  CONCLUSIONES 5.1.  5.2.  5.3.  5.4.  5.5.  6. 

Descarga de utilidades para aplicaciones y juegos Descargas totales Ponderación de las descargas por categoría y red Volumen de malware encontrado Malware encontrado y tipos de descarga Popularidad del malware encontrado Valoración del malware encontrado Características de los ficheros con malware encontrados

27  28  28  29  32  32  34  35  36  36  42  42  42  43  44  44  47 

Resultados de descargas y catalogación

Resultados de los análisis sobre las descargas

Presencia de malware en redes P2P Riesgos asociados al uso de redes P2P Riesgos por tipos de descargas Tipos de ficheros con malware Hábitos de buen uso en redes P2P

GLOSARIO

Análisis de la presencia de malware en las descargas de redes P2P

3

1.

RESUMEN EJECUTIVO

Este informe presenta los resultados del análisis de la presencia de malware 1 en las redes Peer to Peer (P2P 2 ) realizado INTECO a través de su Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información, INTECO-CERT. Mediante la ejecución de este proyecto, INTECO ha desarrollado un trabajo de investigación para evaluar y caracterizar en detalle el malware que se distribuye a través de diversas redes P2P utilizadas en España. Se ha utilizado un modelo representativo de los hábitos de uso de los usuarios españoles en dichas redes con el fin de reflejar los posibles riesgos que éstos deben afrontar. Para ello y dado el alto contenido técnico de la labor, INTECO-CERT ha elaborado una metodología específica para acometer los dos aspectos más sensibles del proyecto: • La realización de las descargas a través de las redes P2P, incluyendo la selección de las redes P2P a estudio, los clientes de descarga, la selección de los productos a descargar 3 y la construcción de la plataforma que dé soporte a la realización de todas las descargas. El análisis técnico pormenorizado de los ficheros descargados, para el que se construido una plataforma de análisis en diferentes fases y con diversas etapas cada fase. Todos los ficheros descargados recorren una batería de sistemas detección y diagnóstico, para determinar si existe o no malware en cada uno ellos. ha en de de

Para la realización del presente análisis se han descargado y analizado 3.032,22 GB (3 TB) que correspondían a más de 1.114.800 ficheros descargados de redes P2P.

1.1.

MARCO DE REFERENCIA

El entorno actual relativo tanto al uso de las redes P2P como a la evolución del malware se puede resumir en los siguientes aspectos: • El desarrollo y propagación de malware ha crecido de forma exponencial durante los últimos 5 años. Según datos de Panda Security 4 o de McAfee 5 , en 2008 se ha detectado más malware que en todos los años anteriores juntos. Durante los dos últimos años el volumen de tráfico de Internet en la zona sur europea, dentro de la cual se encuentra España, procede mayoritariamente del uso de redes P2P, con unos valores que oscilan entre el 63,94% del volumen total en

Malware: denominación común para todo tipo de software malicioso Red P2P (peer to peer): nombre que se asigna a las redes de intercambio de archivos entre pares 3 Producto a descargar: engloba todas las descargas de software para una misma búsqueda 4 Panda Security (www.pandasecurity.com): compañía española de seguridad informática fundada en 1990 centrada inicialmente en el desarrollo y comercialización de software de antivirus 5 McAfee (www.mcafee.com): empresa especializada en productos para la seguridad informática fundada en 1987 y con sede en Estados Unidos.
2

1

Análisis de la presencia de malware en las descargas de redes P2P

4

2007 al valor del 54,46% en los años 2008 y 2009, según datos de la empresa alemana Ipoque 6 en su estudio anual Internet Study. • También según datos de dicho estudio, las redes P2P más utilizadas en la zona sur de Europa durante el año 2007 fueron la red eDonkey 7 , con un 57% del volumen del tráfico relativo a descargas e intercambio de archivos, seguida de la red BitTorrent 8 con un 40%. Muy de lejos le sigue la red Gnutella 9 , con un 2,23%. La tendencia se mantiene en 2008 y 2009 aunque más igualada entre las dos mayoritarias, , con un 48,94% de BitTorrent, y un 47,17% de eDonkey, seguidos de lejos por Gnutella que baja al 1,66%. Las redes P2P son un mecanismo idóneo para la propagación de malware ya que se utilizan para intercambio de archivos entre usuarios anónimos, de forma que es sencillo introducir software malicioso en ficheros a compartir. Además, la dudosa legalidad de algunas descargas realizadas a través de P2P, unido al carácter distribuido y transnacional de estas redes hacen complejas tanto la identificación de la fuente original como la exigencia de responsabilidades ante una descarga maliciosa.

1.2.

RESULTADOS MÁS DESTACADOS DEL ANÁLISIS

Los resultados más significativos obtenidos en el proyecto, y que serán analizados con mayor detalle y profundidad a lo largo del informe (especialmente en el capítulo 4 de “Resultados del análisis de malware en redes P2P”), son los siguientes: • La cantidad de descargas comprometidas con algún tipo de malware obtenido sobre el total de ficheros descargados ha sido de un 9,7%, lo que significa prácticamente una de cada diez descargas realizadas. La categoría de descargas potencialmente más peligrosas de enmascarar o esconder malware en las redes P2P son principalmente las de aplicaciones o software, donde se cumple que el 31,93% de las aplicaciones descargadas contienen algún tipo de malware. A continuación le siguen los juegos, con un 16,33% de malware sobre todas las descargas de juegos efectuadas. Para el resto de descargas de audio, vídeo y texto/imágenes se han detectado el 9,91%, del cual el 2,13% y el 1,03% respectivamente tenían algún tipo de contenido malicioso.

Ipoque (www.ipoque.com): compañía alemana especializada en productos de monitorización y control de redes informáticas 7 eDonkey: red P2P de intercambio de archivos basada en el uso de servidores. 8 BitTorrent: red P2P para el intercambio de archivos basada en el uso del protocolo con mismo nombre 9 Gnutella: red P2P de intercambio de archivos basada en un protocolo totalmente descentralizado

6

Análisis de la presencia de malware en las descargas de redes P2P

5

Figura 1: Descargas realizadas por categoría de contenidos

Fuente: INTECO

El malware se concentra en las utilidades para poder instalar y utilizar software que no es de utilización libre sin licencia (cracks 10 , generadores de números de serie 11 , etc.). Si no se considera la descarga aparte de estas utilidades, el porcentaje de malware detectado disminuye significativamente al valor de un 4,6% sobre las descargas realizadas. Además, en la gran mayoría de este 4,6% restante, el código malicioso detectado está asociado a utilidades de este tipo ya incorporadas en el interior de la propia descarga del producto.

En lo que respeta a tipos de ficheros descargados, los archivos con malware se concentran en ficheros ejecutables, con un 87,2%, seguidos por los de vídeo, con el

Crack: aplicación informática desarrollada para modificar el funcionamiento original de un programa, usada generalmente para activar software o saltarse protecciones o restricciones de uso impuestas por licencia. 11 Generador de números de serie: (keygen, key generator): programa informático para la generación de claves de registro válidas para aplicaciones que necesitan de una licencia

10

Análisis de la presencia de malware en las descargas de redes P2P

6

8,2%. El resto de detecciones corresponde a ficheros de audio, y texto/imágenes, confirmando que existen ficheros manipulados con malware de cualquier tipo. La mayor parte de las ocasiones, un 76,34%, los ficheros con malware no se descargan directamente sino que se encuentran encapsulados dentro de descargas de ficheros empaquetados 12 . • La red que ha resultado más peligrosa para su uso en descargas P2P ha sido Gnutella, en la que se ha detectado que el 50,4% de las descargas realizadas estaban manipuladas con malware. Le sigue eDonkey/Kad, con un 10,3% de descargas comprometidas (con valores muy dispares entre sí: el 15,8% en KAD y el 4,85% en eDonkey). BitTorrent ha resultado ser la más segura, con sólo un 1,7% de descargas con malware. Las redes P2P centralizadas que utilizan servidores o directorios centrales (eDonkey, BitTorrent) para la gestión de las descargas se muestran más seguras que las redes más descentralizadas (Kad, Gnutella), donde la comunicación es más directa entre los nodos. En el caso de las redes centralizadas, es además muy importante utilizar siempre los servidores o directorios de más reputación o recomendados por fuentes oficiales confiables, pudiendo aumentar significativamente las descargas comprometidas en caso de no hacerlo (p. ej. hasta cerca del 100% en caso de utilizar servidores eD2K falsos o fraudulentos).
Figura 2: Porcentajes de descargas con malware por red P2P

Malware en redes P2P

Fuente: INTECO

12 Ficheros empaquetados: ficheros que se caracterizan por ser “contenedores” de otros ficheros (como archivos comprimidos, imágenes de CD/DVD, archivos de instalación, etc.), es decir, dentro de ellos están agrupados uno o varios ficheros.

Análisis de la presencia de malware en las descargas de redes P2P

7

2.

INTRODUCCIÓN

Este informe es el resultado de un trabajo de investigación desarrollado por INTECO a través de su Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información, INTECO-CERT. La finalidad del proyecto desarrollado ha sido la evaluación y la caracterización del malware que se distribuye a través de las redes P2P de intercambio de archivos, en particular para las redes y hábitos utilizados de forma mayoritaria por los usuarios españoles.

2.1.

INSTITUTO NACIONAL COMUNICACIÓN

DE

TECNOLOGÍAS

DE

LA

El Instituto Nacional de Tecnologías de la Comunicación (INTECO, www.inteco.es), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. Su objetivo es doble: por una parte, contribuir a la convergencia de España con Europa en la Sociedad de la Información y, de otra parte, promover el desarrollo regional, enraizando en León un proyecto con vocación global. La misión de INTECO es impulsar y desarrollar proyectos de innovación relacionados con el sector de las Tecnologías de la Información y la Comunicación (TIC) y en general, en el ámbito de la Sociedad de la Información, que mejoren la posición de España y aporten competitividad, extendiendo sus capacidades tanto al entorno europeo como al latinoamericano. Así, el Instituto tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional que constituirá una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa. El objeto social de INTECO es la gestión, asesoramiento, promoción y difusión de proyectos tecnológicos en el marco de la Sociedad de la Información. Para ello, INTECO desarrollará actuaciones, en las siguientes líneas estratégicas: • Accesibilidad e inclusión social, basada en políticas de accesibilidad y equidad de todos los ciudadanos ante las opciones de la Sociedad de la Información. INTECO desarrolla proyectos en al ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las Administraciones Públicas mediante el Centro de Referencia en Accesibilidad y Estándares Web. Calidad del Software: promoción de la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales del desarrollo. Formación: la formación es un factor determinante para la atracción de empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.

Análisis de la presencia de malware en las descargas de redes P2P

8

Seguridad Tecnológica: establecimiento de las bases de coordinación de distintas iniciativas públicas en torno a la seguridad informática, mediante proyectos como el Observatorio de la Seguridad de la Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro Nacional de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) y la Oficina de Seguridad del Internauta.

Dentro de la línea estratégica de Seguridad Tecnológica, INTECO dispone del INTECOCERT (Computer Emergency Response Team, Equipo de Respuesta ante Emergencias Informáticas, cert.inteco.es), como servicio preventivo y reactivo ante incidencias de seguridad en los Sistemas de Información de pymes y ciudadanos. El INTECO-CERT sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informáticos, prevención frente a posibles amenazas e información, concienciación y formación en materia de seguridad a pymes y ciudadanos españoles. Los objetivos y misión del CERT se pueden, resumir en los siguientes: 1. Proporcionar información clara y concisa acerca de la tecnología, su utilización y la seguridad que mejore su comprensión. 2. Concienciar a las pymes y ciudadanos de la importancia de contemplar y abordar adecuadamente todos los aspectos relacionados con la seguridad informática y de las redes de comunicación. 3. Proporcionar guías de buenas prácticas, recomendaciones y precauciones a tener en cuenta para mejorar la seguridad. 4. Proporcionar mecanismos y servicios de divulgación, formación, prevención y reacción ante incidencias en materia de seguridad de la información. 5. Actuar como enlace entre las necesidades de pymes y ciudadanos y las soluciones que ofertan las empresas del sector de la seguridad de las tecnologías de la información.

2.1.1.

Objetivo del proyecto

En los últimos años se está observando un importante incremento en la aparición de nuevas amenazas en forma de malware. A su vez, la utilización de las redes P2P es cada vez más generalizada y es el principal consumidor de los recursos de banda ancha en Internet. Sin entrar en la componente legal de la problemática de las descargas en redes P2P, con este análisis se pretende evaluar y caracterizar la distribución de malware a través de las descargas realizadas distintas redes P2P. El análisis se focaliza hacia el malware desarrollado para sistemas operativos Microsoft Windows en sus diversas versiones, puesto que es el usado mayoritariamente por los usuarios informáticos en España. Este dato es corroborado por fuentes como el estudio de mercado sobre sistemas operativos realizado periódicamente por NetApplications que refleja que, a nivel mundial, prácticamente el 91% de las máquinas tienen instalado un S.O. Windows, como se observa en la Figura 3.

Análisis de la presencia de malware en las descargas de redes P2P

9

Particularizando para los usuarios domésticos españoles, la Tercera Oleada del estudio sobre la seguridad de la información y eConfianza 13 publicada por INTECO, indica que el 98,4% de los equipos de usuarios españoles auditados estaban basados en un sistema operativo Microsoft Windows, seguidos por un 1,1% de Linux y un 0,5% de Mac.
Figura 3: Cuota de mercado de los Sistemas Operativos (en porcentaje)

Fuente: NetApplications

2.1.2.

Objetivos secundarios y objetivos detallados

El desarrollo del análisis sobre la distribución de malware a través de las descargas en redes P2P permitirá también dar respuesta a cuestiones específicas como las siguientes: • • • • • ¿Son las redes P2P un mecanismo o canal de importancia para la distribución de malware? ¿Qué riesgo conlleva la descarga de ficheros a través de las redes P2P? ¿Qué tipo de contenidos son los más peligrosos a la hora de ser descargados a través de las redes P2P? ¿Existe alguna relación entre las descargas de software protegido por licencia y la distribución de malware por las redes P2P? ¿Hay determinados orígenes de descargas en las redes P2P que son más peligrosos que otros?

13 Estudio sobre la incidencia y confianza de los usuarios de Internet, publicado por INTECO, basado en la medición periódica de los episodios de riesgo individual en una muestra de más de 3.000 hogares

Análisis de la presencia de malware en las descargas de redes P2P

10

Además, dentro del presente proyecto se han abordado otra serie de consideraciones relacionadas como las que se describen a continuación: • Conocer los hábitos de uso de las redes P2P en España: • • • • • Qué redes son las más utilizadas tanto actualmente como históricamente. Qué tipo de búsquedas son las más populares y qué tipo de archivos son los más compartidos. Bajo qué criterios se realizan las búsquedas y las descargas.

Identificar cuáles son los tipos de malware más difundidos a través de las redes P2P. Identificar las buenas prácticas de uso de cara a minimizar el riesgo en el uso de estas redes de intercambio de ficheros.

2.2.
2.2.1.

ESTADO DEL ARTE
Malware

La palabra malware proviene de la agrupación de las palabras malicious software (software malicioso). Una aproximación generalista lo definiría como un programa que se instala en un sistema informático sin el conocimiento del usuario, con el fin de causar un perjuicio al sistema huésped o al usuario de dicho sistema afectado, y que en ocasiones puede aportar un beneficio al creador/difusor del malware. En la actualidad la gran mayoría de las muestras detectadas atienden al segundo objetivo perseguido, siendo ésta la razón de mayor peso en la creación y difusión de código malicioso. El incremento del volumen de malware en la red ha sido exponencial en los últimos años. Los fabricantes de antivirus y software de seguridad estudian en un año más malware que la suma de todos los años anteriores, siendo esta la tendencia actual y probablemente futura. Según Panda Security, en 2008 recolectaron más de 15 millones de muestras de malware, más que en todos los años anteriores juntos (ver Figura 4). Esta progresión en el volumen de malware se puede observar también en el informe anual “McAfee Virtual Criminology Report” de McAfee que refleja el aumento de las variantes principales de malware durante los últimos años (ver Figura 4). Dentro del documento del Anexos, el “Anexo I: Malware. Historia y clasificación” se recoge una descripción detallada de la evolución histórica del malware, así como una clasificación de los distintos tipos existentes.

Análisis de la presencia de malware en las descargas de redes P2P

11

Figura 4: Estadísticas del aumento anual del volumen de malware

Fuentes: Panda Security y McAfee

La incidencia del malware en los equipos personales de los usuarios españoles es considerable, como refleja el Estudio sobre la seguridad de la información y la e-Confianza del 3er trimestre de 2009 de INTECO. Según este estudio, durante 2009, el nivel de equipos comprometidos con aplicaciones no deseadas se mantiene en torno al 60% de los equipos analizados, dato que se reduce hasta valores superiores al 40% de media al considerar sólo los equipos con código malicioso de alto riesgo (comprometidos con aplicaciones que pueden causar perjuicios relevantes al usuario: robo o pérdida de datos, utilización del equipo por terceros con fines no legales, perjuicio económico, etc.).

2.2.2.
2.2.2.1.

Redes P2P
Introducción

Una red informática P2P o entre iguales (en inglés peer-to-peer) se refiere a una red de intercambio de archivos que no tiene clientes ni servidores fijos, sino una serie de nodos que se comportan simultáneamente como clientes y como servidores de los demás nodos de la red. Las redes de ordenadores P2P optimizan el uso de ancho de banda que acumulan de los demás usuarios en una red, obteniendo como resultado mucho más rendimiento en las conexiones y transferencias que otros métodos centralizados convencionales, donde una cantidad relativamente pequeña de servidores provee el total de ancho de banda y recursos compartidos para un servicio o aplicación.

Análisis de la presencia de malware en las descargas de redes P2P

12

Cualquier nodo puede iniciar, detener o completar una transferencia. La eficacia de los nodos en el enlace y transmisión de datos puede variar según su configuración local o routers 16 , etc.), velocidad de proceso, (cortafuegos 14 , NAT 15 , encaminadores disponibilidad de ancho de banda de su conexión a la red y capacidad de almacenamiento en disco. El uso más común de las redes P2P es el intercambio de archivos, convirtiéndose así en un medio ideal para la propagación de malware, si bien existen otros usos como la voz sobre IP 17 , la difusión de radio y televisión vía Internet o las redes de almacenamiento. En función de su arquitectura, se puede hacer una clasificación de los tipos de redes P2P: • Redes P2P centralizadas: en las que todas las transacciones se hacen a través de un único servidor que hace de enlace entre nodos donde se almacenan los contenidos. Es el caso de Napster, pionera en el intercambio de ficheros a nivel de usuario. Redes P2P descentralizadas: no requieren de una gestión centralizada, sino que los propios usuarios son a la vez nodos de esas conexiones y también los almacenes de esa información. Todas las comunicaciones son directamente de usuario a usuario con ayuda de un nodo (otro usuario) que permite enlazar esas comunicaciones. Gnutella y Kademlia son ejemplos de este tipo de red P2P. Redes P2P híbridas: existe uno o varios servidores centrales que sirven como concentradores que administran los recursos de comunicación entre nodos, pero sin hacer de almacén de contenidos. En el caso de que esos servidores no estén disponibles, los nodos pueden seguir en contacto a través de una conexión directa entre ellos mismos. Este es el caso de BitTorrent y eDonkey. Redes P2P como medio de difusión de malware

2.2.2.2.

Estudios como “Internet Study 2007”, realizado por la entidad alemana Ipoque, ponen de manifiesto que actualmente las redes P2P son responsables en Europa de la mayor parte del tráfico registrado en Internet (el 69,25% del total en Alemania, el 83,46% en Europa del Este, y un 63,94% en el sur de Europa, en el que se incluye España). En estos datos se puede observar como en España, y Europa en general, las redes P2P son responsables de mayor tráfico que la suma de todas las demás aplicaciones. La tendencia mayoritaria se mantiene en los años 2008 y 2009 donde el “Internet Study 2008/2009” de Ipoque, marca en un 54,46% el uso de las redes P2P en el sur europeo.

Cortafuegos: parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. 15 NAT: Network Address Translation (Traducción de Direcciones de Red), mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes cuyas direcciones finales son incompatibles o no se quieren revelar. 16 Encaminador (router): dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos. 17 IP: Internet Protocol (Protocolo de Internet), protocolo no orientado a conexión usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados.

14

Análisis de la presencia de malware en las descargas de redes P2P

13

Como principal y mayoritaria fuente de tráfico en Internet las redes P2P son, por tanto, un mecanismo ideal para conseguir una gran difusión de aplicaciones de software malicioso. La Tercera Oleada del Estudio sobre la seguridad de la información y eConfianza publicada por INTECO constataba ya en el año 2007 que uno de los principales uso de Internet en España son las redes P2P superando el 60%. Este dato se ha visto incrementado y supera el 75% en las estadísticas recogidas en dicho Estudio en el tercer trimestre de 2009. La Tercera Oleada del Estudio sobre la seguridad de la información y eConfianza realizaba un análisis detallado de las prácticas de los usuarios de P2P, reflejando en particular el dato sobre el número de usuarios que dejan su ordenador diariamente descargando sin ninguna vigilancia (casi un 50% -ver Figura 5-), y por tanto evidenciando el riesgo que esto supone de propagación de malware a través de estas redes.
Figura 5: Porcentaje de Usuarios que dejan el ordenador descargando sin vigilancia (en 2007)

Fuente: INTECO

A todo esto hay que añadir el hecho de que el uso de las redes P2P para la distribución de malware es difícil de perseguir y atajar. La localización de la fuente inicial del malware en este tipo de redes distribuidas globalmente, donde los ficheros pueden haber dado varios saltos desde su origen inicial, es complicada. Además, muchas descargas que se realizan a través de las redes P2P son ya de por sí de dudosa legalidad, por lo que resulta muy complejo para sus usuarios abordar una exigencia de responsabilidades tras verse comprometido en estos casos. Por si fuera poco, las máquinas desde las que se sirven o
Análisis de la presencia de malware en las descargas de redes P2P 14

realizan las descargas en ocasiones están situadas en países donde se pueden amparar en legislaciones y autoridades muy permisivas y poco exigentes en materia de delitos digitales. Por todo esto, las redes P2P representan un mecanismo que puede ser muy útil para la distribución, intencionada o no, de malware. 2.2.2.3. Hábitos de uso redes P2P en España

En la actualidad existen multitud de redes P2P utilizadas por internautas para intercambio y descarga de ficheros. De hecho, muchos de los clientes utilizados son capaces de conectarse y descargar a la vez a más de una red P2P. En conjunto, entre todos los clientes P2P, se utilizan fundamentalmente las siguientes redes P2P: • • • • • • • • Kademlia eDonkey FastTrack Soulseek BitTorrent Gnutella Gnutella2 18 Ares Galaxy

Sin embargo, la realidad del uso y tráfico reales en las redes P2P es bien distinta. De nuevo acudiendo al estudio “Internet Study 2007” realizado por la empresa alemana Ipoque, se observa que en la región del sur de Europa, en la que se encuentra España, la red P2P dominante es eDonkey, con un 57% del tráfico, seguido de BitTorrent, con un 40% (en general, en todo el mundo entre estas dos acumulan la mayor parte del tráfico P2P, con mucha diferencia), y muy lejos el resto de redes, encabezadas por Gnutella con un 2,23%.

18 Gnutella2: protocolo creado en 2002 por Michael Stokes basado en el protocolo Gnutella pero independiente del mismo

Análisis de la presencia de malware en las descargas de redes P2P

15

Figura 6: Tráfico (en porcentaje) por red P2P y zona geográfica

Fuente: Ipoque

La tendencia se mantiene durante los años 2008 y 2009, según “Internet Study 2008/2009” de Ipoque, concentrando las dos redes mayoritarias prácticamente el total de las descargas P2P, si bien es cierto que la red BitTorrent registra un ligero incremento, hasta el 48,94% en detrimento de eDonkey que baja hasta el valor 47,17%, mientras que Gnutella las sigue a bastante distancia con un 1,66%.

Análisis de la presencia de malware en las descargas de redes P2P

16

Figura 7: Programas utilizados (en porcentaje) para el intercambio de archivos (en 2007)

Fuente: INTECO

En lo que a los usuarios españoles se refiere, de nuevo recurriendo al análisis detallado de las prácticas de los usuarios de P2P realizado en la Tercera Oleada del Estudio sobre la seguridad de la información y eConfianza publicada por INTECO, se recogen los clientes más utilizados para la descarga en redes P2P (ver Figura 7). De los cinco más utilizados, cuatro pueden descargar de las redes eDonkey y/o Bittorrent. Ares, con capacidad de conexión a varias redes P2P, y Limewire son compatibles con Gnutella. Para el presente análisis se han realizado y analizado descargas de las tres redes mayoritarias en el ámbito geográfico en el que se encuentra España: eDonkey, BitTorrent y Gnutella, generando así un muestreo de descargas sobre las redes más utilizadas (más del 99% del tráfico P2P, según el estudio de iPoque). 2.2.2.3.1. Red Kad

La red Kad es una red de intercambio P2P que usa una variación del protocolo Kademlia utilizada por el cliente eMule desde la versión oficial 0.42. Kad es una red basada en el uso de nodos, es decir, los propios usuarios actuarán como nodos de la red. Esto supone un contraste en arquitectura de redes comparado con la red inicial eDonkey, la cual se basaba en servidores.

Análisis de la presencia de malware en las descargas de redes P2P

17

El principal cliente de la red eDonkey es la aplicación denominada eMule, cuya primera versión salió a la luz en el año 2002. La versión oficial de este cliente es utilizada por el 80% del total de usuarios de la red eDonkey. Además, por tratarse de software libre, prácticamente el resto de usuarios de esta red utiliza clientes desarrollados a partir de la versión de eMule oficial. El peso de este cliente en la red eDonkey es tal que, en algunos ámbitos, la red eDonkey es denominada red eMule. En cuanto a su utilización, la mayoría de usuarios conectados a servidores de eDonkey también están conectados a la red Kad, puesto que ambas redes se gestionan desde el mismo cliente. Los clientes de Kad normalmente consultan nodos conocidos de la red eDonkey para encontrar un nodo inicial en la red Kad. Las búsquedas y las descargas se hacen de manera indistinta en una y otra red. La política recomendada desde los foros oficiales del proyecto eMule va dirigida a potenciar el uso compartido de las dos redes, aunque se aprecia una constante evolución hacia un mayor uso de Kad en detrimento del uso se servidores eDonkey. Bajo esta premisa, para este proyecto se han considerado ambas redes, eDonkey y Kad, englobadas dentro del análisis de la red eDonkey/Kad.

Análisis de la presencia de malware en las descargas de redes P2P

18

3.

DISEÑO METODOLÓGICO

Para el desarrollo de este proyecto se ha utilizado una rigurosa metodología diseñada específicamente para este caso, que garantice la consistencia del análisis en los siguientes aspectos: • • El reflejo del comportamiento típico de los perfiles mayoritarios de usuarios españoles de las redes P2P. La máxima fiabilidad y exactitud en los análisis de las descargas realizadas, para identificar la presencia o no de malware.

Los dos grandes bloques operativos en los que se ha desarrollado el proyecto (ver Figura 8) son: • Descargas y almacenamiento: comprende toda la fase de elaboración de los listados de descargas a realizar, en base a criterios de popularidad y hábitos de usuarios (ver apartado 3.1 “Descargas y almacenamiento”). También incluye la propia descarga de la selección realizada desde los clientes de las diferentes redes P2P. El objetivo de esta fase es disponer de un repositorio de descargas almacenadas y ya catalogadas para su posterior análisis en busca de malware. Análisis: comprende toda la batería de pruebas y procesos que se realizan sobre cada fichero descargado, así como sobre los archivos incluidos en los ficheros descargados cuando estos son empaquetados (ver apartado 3.2 “Análisis”). El objetivo de esta fase es analizar minuciosamente cada fichero y clasificarlo en función de la presencia o no de malware en el mismo.

Tras la ejecución de estas dos fases se ha abordado la explotación e interpretación de los resultados obtenidos, como se detalla en el capítulo 4 “Resultados del análisis de malware en redes P2P”.
Figura 8: Fases de desarrollo del proyecto

Fuente: INTECO

Análisis de la presencia de malware en las descargas de redes P2P

19

El diseño metodológico detallado que se ha seguido en este proyecto se encuentra descrito en el documento de Anexos, en el apartado “Anexo II: Diseño metodológico”.

3.1.

DESCARGAS Y ALMACENAMIENTO

El esquema general del diseño de la plataforma de descarga y almacenamiento es el reflejado en la siguiente ilustración:
Figura 9: Arquitectura de la plataforma de descargas, almacenamiento y catalogación

Fuente: INTECO

Esta fase está diseñada bajo el criterio general de reflejar un comportamiento similar al de los usuarios de las redes P2P. Esto significa que tanto la elección de las propias descargas a realizar, como los volúmenes de cada tipo de descarga, e incluso los clientes P2P a utilizar, están supeditados a las estimaciones obtenidas relativas al comportamiento mayoritario de los usuarios de redes P2P en España.
Análisis de la presencia de malware en las descargas de redes P2P 20

Así, el volumen de descargas a realizar de las tres redes P2P se ha seleccionado de modo que siga unos porcentajes similares a los indicados en el apartado 2.2.2.3 “Hábitos de uso redes P2P en España”. De igual forma, los servidores o directorios desde los que se realizan las descargas se han escogido en base a los mismos criterios de popularidad. Consecuentemente, también la elección de los productos de descarga se ha realizado siguiendo criterios de máxima popularidad, buscando siempre los productos más descargados en cada momento. Para ello se han dividido los productos en función de cinco categorías: audio, vídeo, juegos, aplicaciones/sistemas operativos y texto/imágenes. Para cada categoría se ha elaborado una lista de popularidad de descargas en función de la información obtenida de diversas fuentes, procediéndose a descargar los productos más populares de cada lista, que serán los más buscados, descargados y compartidos del momento. El número de descargas realizadas varía en función de la categoría del producto, puesto que además se respetan unos porcentajes estimados en función del comportamiento de los usuarios: • • • • • Aplicaciones y sistemas operativos: del 5-15% del total descargado. Juegos: 20-25% del total descargado. Ficheros de vídeo: películas, series de TV, documentales, etc. Del 55 al 65% del total descargado. Ficheros de audio: música, etc. Del 5 al 10% del total descargado. Ficheros de texto e imágenes: libros, manuales, fotografías, etc. Menos del 5% en total.

En el caso de las categorías de juegos y aplicaciones/sistemas operativos, se han descargado también utilidades asociadas a cada producto, como cracks, parches o generadores de números de serie, en caso de que el producto estuviera protegido por licencia. Este tipo de aplicaciones están desarrolladas para poder utilizar software bajo licencia sin necesidad de adquirirla. Una vez finalizada una descarga desde un cliente P2P, se procede al almacenamiento de la misma y la catalogación en la base de datos del proyecto, recogiendo las características más significativas del fichero descargado para su tratamiento posterior. En el caso de que la descarga sea un fichero empaquetado se procede además a la extracción recursiva de todos los ficheros contenidos tanto en el fichero empaquetado como en los sub-ficheros extraídos. Todos los ficheros y sub-ficheros extraídos han sido catalogados en la base de datos para su posterior análisis. La descripción detallada de la definición y desarrollo de esta fase así como la selección de servidores y productos a descargar se puede consultar en el documento de Anexos, en el apartado 2.2 “Descargas, almacenamiento y catalogación” del “Anexo II: Diseño metodológico”.

Análisis de la presencia de malware en las descargas de redes P2P

21

3.2.

ANÁLISIS

Se ha diseñado y puesto en funcionamiento una plataforma de análisis que tiene como objetivo clasificar como malware o goodware cada uno de los ficheros que han sido catalogados. La plataforma se ha construido de forma segmentada, compuesta por una batería de procedimientos y herramientas de análisis y detección que sirven para que, de forma automática o manual, cada fichero sea finalmente clasificado de forma concluyente en base a si contiene o no malware. Así, cada fichero a analizar – muestra - pasa por diversas etapas hasta obtener el resultado final (ver Figura 10).
Figura 10: Desarrollo del análisis de las muestras

Fuente: INTECO

Se han clasificado como malware aquellos ficheros en los que se detecte un contenido malicioso, y como goodware aquellos que se consideren limpios o legítimos. A continuación se describen cada una de las etapas que componen la plataforma de análisis. La explicación más detallada de la fase de análisis y las etapas que la componen se puede consultar en el documento de Anexos, en el apartado 2.3 “Análisis” del “Anexo II: Diseño metodológico”.

Análisis de la presencia de malware en las descargas de redes P2P

22

3.2.1.

NSRL

National Software Reference Library (NSRL) es una base de datos mantenida por el Instituto Nacional de Estándares y Tecnología (NIST 19 ) de Estados Unidos con información sobre firmas digitales (hashes 20 ) de aplicaciones software conocidas, generalmente englobando los ficheros de instalación de esas aplicaciones. Para cada uno de los ficheros catalogados se realiza una consulta de su hash a la NSRL, de forma que si el fichero está en la base de datos se identifica y clasifica de forma inequívoca.

3.2.2.

Hashkeeper

Hashkeeper es una base de datos creada por el National Drug Intelligence Centre del Departamento de Justicia de los Estados Unidos que contiene información sobre hashes de ficheros conocidos. Es similar y complementaria a la NSRL, con la diferencia de que esta base de datos está más orientada a los ficheros residentes en los sistemas una vez instaladas las aplicaciones de software conocidas. De la misma forma que con la NSRL, si un hash de un fichero catalogado se encuentra en esta base de datos, la muestra se identifica y clasifica de forma inequívoca.

3.2.3.

Motores AntiVirus

Esta etapa de la plataforma de análisis está compuesta por una batería de herramientas antivirus (AVs) que analizan cada una de las muestras. Si el número de detecciones positivas 21 es significativo la muestra ha sido clasificada como malware. Los antivirus que conforman esta etapa son: • • • • • • ClamAV Avast Bit Defender Avira F-Secure NOD32

NIST (National Institute of Standards and Technology): agencia del Departamento de Comercio de los Estados Unidos cuya misión es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología. El NIST dispone de otras fuentes de datos de referencia que son de amplia reputación en la red, tales como la base de datos de vulnerabilidades (NVD) según el estándar CVE. Esta base de datos es la utilizada también por INTECO-CERT para la catalogación de vulnerabilidades, siendo INTECO la entidad responsable de su mantenimiento en castellano. 20 Hash: valor numérico calculado mediante un algoritmo matemático que permite obtener un valor resumen de unos datos o fichero. Este valor identifica unívocamente unos datos o un fichero. Hay varios tipos de hash según el algoritmo aplicado. En el proyecto se contemplan los calculados según los algoritmos MD5 y SHA1. 21 Detección positiva: clasificación como malware por parte de un antivirus o herramienta de detección.

19

Análisis de la presencia de malware en las descargas de redes P2P

23

• •

Norman Kaspersky

3.2.4.

Analizador de configuración de INTECO: CONAN

CONAN (Configuration Analisys o Analizador de Configuración) es una herramienta de análisis de configuración del sistema desarrollada por INTECO a través de su INTECOCERT, que proporciona información global sobre el estado de seguridad del sistema y particular sobre la clasificación de ficheros recogidos en su base de datos. En función de la información sobre ficheros ejecutables del sistema y datos de configuración se puede generar una valoración positiva o negativa que, junto con el estado de las actualizaciones, generan una nota sobre el estado general de seguridad del sistema. La inteligencia adquirida por CONAN ha sido utilizada en el ámbito del proyecto para consultar los hashes de las muestras de forma que, si el analizador los reconoce, se identifican y clasifica de forma inequívoca.

3.2.5.

Virus Total (VT)

VT o Virus Total es un servicio online de análisis de archivos en tiempo real y consulta de hashes sobre análisis ya realizados, basado en una amplia batería de herramientas antivirus (más de 40) proporcionado por Hispasec Sistemas. Mediante la consulta de hashes a este servicio se va a obtener un informe del análisis de la muestra con el porcentaje de detecciones positivas que se reportan de entre toda la batería de antivirus. Si el porcentaje obtenido ha superado un valor umbral establecido, la muestra ha sido clasificada como malware. La ponderación de ese valor límite se ha definido con el fin de asumir el mínimo número de falsos positivos 22 .

3.2.6.

Malware Hash Registry (MHR)

MHR o Malware Hash Registry es otro servicio online de consulta de hashes basado en análisis de ficheros mediante una batería de Antivirus proporcionado por Team Cymru 23 . La forma de operar en esta etapa es similar a la anterior. El valor obtenido de la consulta se compara con un umbral establecido tal que si se supera dicho valor la muestra ha sido clasificada como malware.

Falso positivo: catalogación como malware erróneamente por parte de un antivirus de una muestra goodware Team Cymru (www.team-cymru.org): organización sin ánimo de lucro con sede en Illinois perteneciente al Gobierno Federal de los EE.UU dedicada a la seguridad internauta.
23

22

Análisis de la presencia de malware en las descargas de redes P2P

24

3.2.7.

Cruce con la Inteligencia Colectiva por Hash (ICH)

En esta etapa se realiza una consulta offline de hashes a la Inteligencia Colectiva (IC) 24 de Panda Security. Los hashes son consultados a la IC en bloques enviados en modo asíncrono. En los resultados que son devueltos por la IC se detalla si cada muestra ha sido reconocida por el sistema o no, y en caso de haber sido reconocida es identifica y clasificada.

3.2.8.

Cálculo dinámico de valoración

En esta etapa se revisan aquellas muestras que en cada una de las etapas mencionadas anteriormente no han sido concluyentes por sí mismas. Se ha definido un criterio acumulativo y ponderado en función de los resultados, tomados en conjunto, de VT, MHR, motores antivirus e ICH. De esta forma se consigue que, muestras que no han llegado al umbral definido como concluyente en alguna de las fases anteriores, pero cuyos resultados están próximos a los límites que se han definido como malware, se marquen como tal al tener en cuenta, de forma acumulativa y ponderada, los resultados de varias etapas anteriores a la vez.

3.2.9.

Analizador Multimedia

El Analizador Multimedia es un analizador de contenidos de audio y vídeo desarrollado exclusivamente para este proyecto con la colaboración de Panda Security. Esta herramienta detecta, exclusivamente en ficheros de vídeo y audio, la presencia código malicioso y de exploits para vulnerabilidades 25 en las aplicaciones que los reproducen. Todo fichero de audio y vídeo que ha sido detectado y contiene algún tipo de código malicioso ha sido clasificado como infectado.

3.2.10.

Envío del fichero y análisis en la Inteligencia Colectiva (ICFTP)

En esta etapa se realiza un envío asíncrono de las muestras que hayan llegado a este paso sin una clasificación concluyente a la plataforma de Inteligencia Colectiva (IC) de Panda Security. Mediante el envío físico del fichero, la plataforma IC aplica su batería de algoritmos, herramientas y sistemas de detección obteniéndose un resultado para esa muestra. Los diversos módulos de análisis de la plataforma IC recaban información sobre la fuente origen del fichero, el comportamiento y estructura del mismo, el contexto y la información que proporcionan otras herramientas de análisis.

Inteligencia Colectiva (IC): nuevo concepto de antivirus desarrollado por Panda Security orientado a la entrega de conocimiento vía Internet mediante una base de datos online en tiempo real donde se almacenan la mayoría de los ficheros de firmas 25 Vulnerabilidad: error de software o diseño de un programa que puede permitir la ejecución de acciones ilegítimas sobre el mismo o el sistema que lo soporta.

24

Análisis de la presencia de malware en las descargas de redes P2P

25

En los resultados devueltos de ICFTP, al igual que en el caso de ICH, se detalla el resultado del análisis en la plataforma para cada muestra, y en caso de ser concluyente es clasificada de forma definitiva.

3.2.11.

Analizador automático de software de INTECO: JENNINGS

Jennings es un analizador automático de software desarrollado por INTECO a través de su INTECO-CERT que realiza análisis estructural y dinámico en ejecución de las muestras obtenidas a través de diversas fuentes y muestra la información más relevante de dichos análisis, tales como las conexiones que establece, los archivos y entradas en el registro de Windows que se crean, borran y modifican, o los procesos que lanzan. Desde INTECO-CERT se ha construido una réplica del analizador Jennings, para el análisis de aquellas muestras que, siendo ejecutables, han llegado a esta etapa sin una clasificación concluyente. Los resultados de esta etapa, almacenados en una base de datos, han servido de apoyo a los técnicos en detección de malware durante el proceso de análisis manual.

3.2.12.

Análisis manual de la muestra

Este es la última etapa de la fase de análisis. Aquí llegan las muestras que en ninguno de las etapas anteriores han sido clasificadas como concluyentes. El análisis manual es desarrollado por técnicos en detección de malware, mediante el uso de la información almacenada durante todo el proceso de análisis, así como otras herramientas de detección y análisis que posibiliten la edición a bajo nivel, análisis de ejecución, simulación, desempaquetado y monitorización de comportamientos sospechosos. Los resultados de esta etapa, son siempre definitivos, quedando todo fichero clasificado en el sistema.

3.3.

EXPLOTACIÓN E INTERPRETACIÓN DE RESULTADOS

Toda la información relativa a una muestra ha sido almacenada en la base de datos del proyecto, desde el momento de su recepción hasta el fin de su análisis. Esta información puede ser explotada en cualquier momento mediante consultas específicas a esta base de datos. Se han definido una serie de indicadores para extraer e interpretar los resultados del proyecto, como se puede comprobar en el capítulo 4: “Resultados del análisis de malware en redes P2P”.

Análisis de la presencia de malware en las descargas de redes P2P

26

4.

RESULTADOS DEL ANÁLISIS DE MALWARE EN REDES P2P

A continuación se presentan los principales resultados obtenidos del análisis de la presencia de malware en las descargas realizadas, siguiendo el modelo de hábitos de usuarios de redes P2P en España, sobre las redes P2P eDonkey/Kad, Bittorent y Gnutella.

4.1.

PUNTOS A CONSIDERAR RESULTADOS

EN

LA

INTERPRETACIÓN

DE

Para la correcta interpretación de los resultados obtenidos han de tenerse en cuenta una serie de consideraciones y conceptos que se han utilizado en su elaboración.

4.1.1.

Ficheros descargados

Estos ficheros corresponden al total de descargas efectuadas de las redes P2P consideradas. Dentro del total de ficheros descargados pueden existir ficheros repetidos, fruto de diferentes descargas desde distintos servidores, directorios o redes.

4.1.2.

Ficheros catalogados y analizados

Es la batería completa de ficheros catalogados y analizados en el proyecto. Los ficheros catalogados están constituidos por todos los ficheros descargados indicados en el apartado anterior, y además los ficheros obtenidos como resultado de desempaquetar aquellas descargas y ficheros empaquetados (ver apartado 3.1 “Descargas y almacenamiento”). Así pues, el volumen, tanto en tamaño como en número, de los ficheros catalogados será superior al de ficheros descargados. Una descarga (fichero descargado) puede incluir más de un fichero catalogado, si se trata de un fichero empaquetado (que a su vez puede contener más ficheros empaquetados). Un fichero empaquetado se ha clasificado como infectado cuando al menos uno de los ficheros que contiene es clasificado como malware. Un fichero empaquetado ha sido clasificado como no infectado si todos los ficheros que contiene han sido clasificados como goodware.

4.1.3.

Descarga de utilidades para aplicaciones y juegos

A la hora de realizar las descargas correspondientes a las categorías de juegos y aplicaciones, en caso de tratarse de software bajo licencia, se han descargado también utilidades asociadas, como son cracks, parches o generadores de números de serie. Este tipo de aplicaciones están desarrolladas para poder instalar y utilizar software que no es de utilización libre sin licencia. Se han extraído resultados y estadísticas tanto de forma conjunta con el resto de descargas como por separado para evaluar la influencia de la descarga de estas utilidades en la presencia de malware.

Análisis de la presencia de malware en las descargas de redes P2P

27

4.2.

RESULTADOS DE DESCARGAS Y CATALOGACIÓN

En este apartado se exponen los diversos indicadores relativos tanto a los ficheros descargados como a los ficheros totales catalogados. Los resultados de las descargas se expresan en valores absolutos o porcentuales, sobre el número de ficheros descargados o sobre el número de ficheros catalogados. En algunos casos también se han contemplado resultados sobre el tamaño total de las descargas expresado en Gigabytes (GB).

4.2.1.

Descargas totales

Para el análisis de la presencia de malware en las redes P2P se han realizado y analizado desde clientes P2P un total de 4.625 descargas que corresponden, en tamaño, a 3.032,22 GB.
Figura 11: Volumen y número de ficheros descargados, catalogados y analizados

Fuente: INTECO

Este valor corresponde únicamente a ficheros descargados, puesto que el total de ficheros catalogados que han sido analizados durante el desarrollo del proyecto es de 1.114.865 ficheros que corresponden a 4.031,16 GB. Tal como se esperaba el volumen de los ficheros totales catalogados y analizados en el proyecto es mayor que el de las descargas efectuadas.

Análisis de la presencia de malware en las descargas de redes P2P

28

4.2.2.

Ponderación de las descargas por categoría y red

Sobre el volumen total de ficheros descargados se puede distinguir la división de descargas por cada red P2P (ver Figura 12) y por cada categoría (ver Figura 13).
Figura 12: Distribución del volumen descargado por red P2P

Fuente: INTECO

Figura 13: Distribución del volumen descargado por categoría de contenido

Fuente: INTECO

Analizando el volumen de ficheros descargados, se puede observar la cantidad descargada por categoría, respondiendo a los rangos especificados en el apartado 3.1 “Descargas y almacenamiento”.

Análisis de la presencia de malware en las descargas de redes P2P

29

Por lo que respecta al tráfico descargado por red P2P, los valores reales descargados son ligeramente diferentes con respecto a los porcentajes de tráfico indicados en el apartado 2.2.2.3 “Hábitos de uso redes P2P en España”. Si bien los volúmenes de descargas finalmente realizadas de BitTorrent y de eDonkey están en un rango próximo a lo esperado, en el caso particular de la red Gnutella, se ha podido observar cómo en la práctica el volumen descargado es poco significativo, a pesar de que el 5% de las 4.625 descargas realizadas corresponden a Gnutella. Esto es debido fundamentalmente a que el número de fuentes encontradas para las búsquedas en Gnutella ha sido muy bajo, y además con mucha frecuencia las descargas han sido falsas o fakes 26 de pequeño tamaño, es decir, ficheros cuyo contenido real no coincide con el de la búsqueda deseada, sino que son otros archivos cuyos nombres se encuentran modificados para que coincidan con la búsqueda. Al ser pocas fuentes y de volumen mucho más pequeño, incluso descargando todos los ficheros encontrados el volumen final descargado ha resultado mucho menor del deseado. Estos datos parecen confirmar que el uso real de Gnutella en el territorio español es escaso y en clara línea descendente, frente a las mayoritarias eDonkey/Kad y BitTorrent. 4.2.2.1. Descargas por servidor y directorio

Por último, en lo que a detalle de las descargas realizadas se refiere, se han extraído los datos de descargas por servidores y directorios de las redes P2P utilizados durante el desarrollo del proyecto.

26

Descarga o fichero fake: Descarga o fichero que no es finalmente lo que aparenta por el nombre o propiedades.

Análisis de la presencia de malware en las descargas de redes P2P

30

Figura 14: Descargas por cada servidor en eDonkey/Kad

Fuente: INTECO

La distribución de descargas por servidor está condicionada por la selección del número de descargas para cada servidor y directorio según se ha definido en la metodología (ver capítulo 3 “Diseño metodológico”). En la Figura 14 se observa como, para la red eDonkey/Kad la mayor fuente de descargas es la red Kad, seguido de las búsquedas en servidores globales de eDonkey, respondiendo a lo esperado ya que en ambos casos se establece el mismo máximo de descargas totales (20 por búsqueda). El número de descargas realizadas desde Kad es mayor debido fundamentalmente a que las descargas iniciadas sobre Kad tienen, por lo general, más fuentes disponibles, y por tanto tienen más posibilidades de finalizar con éxito. En el caso de las búsquedas globales, las fuentes seleccionadas tienen menor número de fuentes disponibles, y en ocasiones no finaliza la descarga para las de menor disponibilidad. A esto hay que añadir el hecho de que en algunas búsquedas no ha habido suficientes resultados para seleccionar las 20 descargas deseadas. Por lo que respecta a las descargas en BitTorrent, el mayor número de descargas corresponde a The Pirate Bay seguido de Mininova, como era de esperar, puesto que eran los directorios de los que se seleccionaba un mayor número de descargas. De entre ellos

Análisis de la presencia de malware en las descargas de redes P2P

31

dos, se ha encontrado un mayor número de fuentes en Pirate Bay, motivo por el cual ha acumulado más descargas que Mininova. En el caso de Gnutella, el total de las 234 descargas realizadas corresponden a búsquedas globales, las únicas utilizadas en esta red P2P. Estos resultados confirman algunos de planteamientos señalados a lo largo del presente documento, tales como: • • • La red eDonkey dispone de bastantes más descargas distintas para cada producto frente a la red BitTorrent. La tendencia actual de la red eDonkey desde el cliente eMule deriva hacia el uso cada vez más mayoritario de la red Kad frente a los servidores eDonkey. Los portales de descargas de archivos torrents más populares son efectivamente los que más ficheros para descargar tienen para una misma búsqueda.

4.3.

RESULTADOS DE LOS ANÁLISIS SOBRE LAS DESCARGAS

En este apartado se detallan los indicadores obtenidos a partir de la información extraída de los análisis y la clasificación de los ficheros descargados y catalogados.

4.3.1.

Volumen de malware encontrado

En primer lugar se ha estudiado el número de descargas manipuladas con malware que se ha encontrado sobre todas las efectuadas y analizadas, así como el desglose por red P2P.

Análisis de la presencia de malware en las descargas de redes P2P

32

Figura 15: Clasificación de las descargas realizadas totales y por red P2P

Fuente: INTECO

De forma general, y según el modelo de hábitos de usuarios de redes P2P españoles que se ha utilizado (ver apartado 3.1 “Descargas y almacenamiento”) casi una de cada diez (un 9,7%) del total de descargas realizadas contenía malware. Es particularmente interesante destacar que la presencia de malware se concentra en las utilidades para poder instalar y utilizar software que no es de utilización libre sin licencia (cracks, generadores de números de serie , etc.). Si no se considera la descarga adicional de estas utilidades, el porcentaje de descargas manipuladas con malware detectado disminuye significativamente al valor de un 4,6% sobre las descargas en este caso. Además, en la gran mayoría de este 4,6% restante, el código malicioso detectado está asociado a utilidades de este tipo ya incorporadas en el interior de la propia descarga del producto. Estudiando el caso particular de las descargas en cada red P2P, se observa cómo la red Gnutella, con un 50,4% de las descargas con malware, es la red con mayor nivel de peligrosidad. Le sigue la red eDonkey/Kad, para la que se ha detectado un 10,3% de descargas infectadas, mientras que la red más segura es la red BitTorrent, con sólo un 1,7% de descargas detectadas manipuladas con malware.

Análisis de la presencia de malware en las descargas de redes P2P

33

4.3.2.

Malware encontrado y tipos de descarga

En el siguiente gráfico se detallan los resultados del análisis y clasificación de las descargas realizadas en cada una de las cinco categorías definidas:
Figura 16: Clasificación de las descargas realizadas por categoría de contenidos

Fuente: INTECO

El análisis de los resultados obtenidos confirma que las categorías de descarga más peligrosas son las aplicaciones y sistemas operativos, con prácticamente una de cada tres (31,93%) de descargas contaminadas con malware, seguido de los juegos, con casi una de cada seis (16,33%) con malware. En la categoría de audio, el porcentaje baja a cerca de una de cada diez (9,91%) descargas comprometidas con malware, mientras que para el resto de categorías, vídeo y texto e imágenes la probabilidad de descargar malware es bastante más pequeña (2,13% y 1,03% respectivamente), pero igualmente existente. Como ya se indicó en el punto anterior, las descargas que contienen malware se concentran en las utilidades adicionales para poder instalar y utilizar software que no es de utilización libre sin licencia.

Análisis de la presencia de malware en las descargas de redes P2P

34

Así, en el caso particular de las descargas de la categoría de aplicaciones, sin tener en cuenta las utilidades descargadas aparte para aplicaciones y juegos el porcentaje de descargas contaminadas con malware desciende al 20,7% (una de cada cinco). Para la categoría de descargas de juegos, el porcentaje de descargas que contienen malware desciende a un 7,43%, en caso de no contabilizar las descargas adicionales de dichas utilidades. Además, al examinar estas descargas restantes comprometidas de aplicaciones y juegos (sin incluir por tanto las utilidades descargadas aparte) para determinar los ficheros concretos con malware, en el 81,63% de los casos se han encontrado empaquetadas dentro de la propia descarga este tipo de utilidades manipuladas con malware. Estos datos confirman que el peligro de infección a la hora de realizar descargas en redes P2P se concentra en las utilidades, ya sea por descarga directa de las mismas, o indirecta, contenidas dentro de alguna otra descarga manipulada que se realiza. De cualquier forma es también muy destacable reseñar que los ejecutables no son ya el único mecanismo de distribución de malware, y de hecho se encuentran muestras de código malicioso en otros tipos de ficheros y categorías como imágenes, y archivos de ofimática (archivos PDF, ficheros de office, etc.).

4.3.3.

Popularidad del malware encontrado

Se ha analizado también la relación que existe entre la presencia de malware y la popularidad de una descarga en cada una de las redes.
Figura 17: Distribución del malware por popularidad y red P2P (eDonkey/Kad y BitTorrent)

Fuente: INTECO

Análisis de la presencia de malware en las descargas de redes P2P

35

Se comprueba en los resultados como en la red eDonkey no es habitual encontrar malware en las descargas de mayor popularidad (sólo un 1% del malware encontrado estaba en descargas con más de 100 fuentes), siendo el rango de popularidad más peligroso el comprendido entre las 10 y las 100 fuentes con un porcentaje del 88,2%. En la red BitTorrent los resultados son más dispares, puesto que el 72% del malware está en descargas con más de 100 fuentes, con un 44% en las de máxima popularidad. En el caso de Gnutella el número de fuentes encontradas para las descargas has sido siempre menor, y la práctica totalidad de las descargas realizadas tenían menos de 100 fuentes, siendo el 60% de las que contenían malware de menos de 10 fuentes, y el 39,1% entre 10 y 100 fuentes.

4.3.4.

Valoración del malware encontrado

Se ha analizado también la relación que existe entre la presencia de malware y la valoración de la descarga que realizan los usuarios de la red, a pesar de que no hay demasiadas valoraciones en las redes P2P (en BitTorrent, un 39% de las descargas totales tienen algún tipo de valoración, por un 16,1% que se da en eDonkey/Kad). En el caso de eDonkey/Kad se observa que el 100% de las descargas con malware se concentra en las descargas no valoradas por los usuarios, mientras que en BitTorrent el malware se concentra en un 72 % en las no valoradas o valoradas negativamente. En general se observa que, aunque hay pocas valoraciones de los usuarios, las valoraciones positivas aportan algo más de confiabilidad, puesto que las descargas comprometidas suelen encontrarse entre las no valoradas. Para la red Gnutella no se ha extraído ningún indicador puesto que no se realizan valoraciones de los usuarios.

4.3.5.

Características de los ficheros con malware encontrados

En este apartado se analizan las diversas características de las diferentes muestras de ficheros clasificados como malware. Los parámetros que definen a los ficheros son el tipo y el tamaño de los archivos. En primer lugar se ha determinado el malware dentro de muestras diferentes analizadas que no sean ficheros comprimidos o empaquetados. Con esto se asegura la identificación de ficheros finales donde se encuentra el malware, independientemente del contenedor (fichero empaquetado) donde pudieran venir. Estos indicadores proporcionan una estimación de los ficheros más peligrosos potencialmente y en los que realmente reside el malware, si bien pueden venir incluidos dentro de una descarga con otros múltiples ficheros.

Análisis de la presencia de malware en las descargas de redes P2P

36

Figura 18: Distribución de malware encontrado por tamaño y tipo de fichero

Fuente: INTECO

Es esperable que el malware difundido a través de las redes P2P tenga características similares y se concentre en rangos de tamaños y en categorías de tipos de ficheros concretas. En el análisis de tamaños de ficheros reflejado en la Figura 18 se comprueba que la mayoría del malware encontrado, un 72,8%, se concentra en ficheros de tamaño menor de 5Mb, mientras que el 42,2% de los ficheros de malware tienen tamaños menores a 1Mb. Esto demuestra una progresión del malware hacia ficheros cada vez más grandes ya que históricamente el malware ha estado siempre concentrado en ficheros muy pequeños. Además del cada vez mayor ancho de banda disponible para los usuarios, las redes P2P facilitan la propagación de malware de elevado tamaño, puesto que permiten la descarga dilatada en el tiempo de ficheros grandes. Además, la existencia de malware en ficheros de ofimática, vídeo y audio hace que el tamaño de estos sea, generalmente, mayor que los tradicionales ficheros ejecutables con malware. Por otra parte, si se observa el análisis de tipos de ficheros también mostrado en la Figura 18, se constata que los tipos de fichero potencialmente más peligrosos de ser malware son los ficheros ejecutables seguidos de lejos por los ficheros de vídeo, con valores del 87,2% y 8,2% respectivamente del total de ficheros comprometidos identificados.

Análisis de la presencia de malware en las descargas de redes P2P

37

A pesar de que la presencia de malware se concentra sobre todo en ficheros ejecutables, es destacable resaltar que se han encontrado ficheros comprometidos de casi cualquier otro tipo: texto, audio, vídeo… En estos casos el código malicioso encontrado ha sido más heterogéneo, pudiendo ser por ejemplo exploits de vulnerabilidades, código HTML malicioso o instalación de decodificadores de vídeo o audio manipulados con malware. Es también interesante resaltar el dato de que el malware en las descargas se ha concentrado en algunos tipos específicos, especialmente en los empaquetados, con un 76,34% sobre las descargas con malware efectuadas, seguidos de ficheros ejecutables con un 9,82%, es decir, la gran mayoría de las veces no se descarga el fichero infectado directamente, sino que se encuentra dentro de una descarga empaquetada. 4.3.5.1. Tipo de malware descargado

Se puede agrupar el malware encontrado en función del tipo de malware del que se trate (ver documento de Anexos el “Anexo I: Malware. Historia y clasisficación”). A los tipos de malware conocidos se añaden las detecciones genéricas, que son aquellas que se realizan clasificando una muestra a partir de su similitud con malware conocido o por el tipo de comportamiento, y las heurísticas, que son detecciones aproximativas que realizan los motores de antivirus cuando basan sus resultados en indicios de comportamiento sospechoso, dando como resultado un porcentaje de detecciones sin clasificar. Si se analiza qué tipo de malware es el más detectado en las descargas en redes P2P se observa que, son los troyanos con un 67,7% de las detecciones realizadas, seguido de las detecciones en archivos multimedia (exploits, codecs maliciosos y reproductores maliciosos) con un 10,7%.

Análisis de la presencia de malware en las descargas de redes P2P

38

Figura 19: Tipos de malware identificados

Fuente: INTECO

En la Figura 19 se puede observar también el listado con las 10 familias de amenazas más detectadas (sobre el total de ficheros maliciosos). Ha sido particularmente relevante el gran número de variantes y muestras diferentes de código malicioso encontradas (incluso dentro de una misma familia de malware): únicamente la sexta parte de las muestras comprometidas encontradas han aparecido más de una vez. 4.3.5.2. Malware por servidores y directorios

En la Figura 20 se identifica la distribución del malware obtenido por servidor (eDonkey/Kad) y directorio (BitTorrent). Para caracterizar el riesgo de cada servidor, independientemente del número de descargas efectuadas desde cada uno de ellos, se ha analizado el porcentaje de malware obtenido entre las descargas realizadas para los servidores y directorios con mayor número de descargas, frente a las descargas totales realizadas desde los mismos.

Análisis de la presencia de malware en las descargas de redes P2P

39

Figura 20: Descargas detectadas con malware por servidor/directorio y red P2P

Fuente: INTECO

En el caso de eDonkey/Kad, la principal fuente del malware es la red KAD con un 15,8% de descargas comprometidas, seguida de las descargas realizadas desde búsquedas globales, con menos de la mitad (6,8%). Para el caso de BitTorrent, el mayor porcentaje de descargas comprometidas proviene del metabuscador IsoHunt, con un 3,8%, seguido del resto de directorios. En el caso de Gnutella solo se estudian un caso, ya que todas las búsquedas son globales. Así, el porcentaje de descargas con malware para esta red es del 50,4% frente al 49,6% clasificadas como goodware. Estos datos corroboran de nuevo que la red Gnutella es la más peligrosa a la hora de realizar descargas P2P, seguida de la red Kad, y las descargas desde búsquedas globales en servidores eDonkey. En último lugar, como descargas más seguras, están los directorios de BitTorrent. Se confirma así que la presencia de malware es más frecuente cuanto más descentralizada es la red P2P o el sistema de gestión de búsquedas y descargas. En eDonkey/Kad el mayor porcentaje de malware se ha obtenido con bastante diferencia en las descargas desde Kad, de gestión descentralizada. En el caso de BitTorrent, el mayor porcentaje de descargas comprometidas se ha dado entre las realizadas desde las

Análisis de la presencia de malware en las descargas de redes P2P

40

búsquedas en Isohunt, metabuscador que indexa Torrents de varios centenares de directorios de variable fiabilidad y reputación, estando en este caso el origen de las descargas menos controlado (más descentralizado) que en el caso de las realizadas desde un directorio concreto. Como caso particular de interés, se ha estudiado también la utilización de servidores falsos, (fake servers) en eDonkey. Este análisis se ha realizado de forma aislada al resto de datos, de forma que las descargas y análisis realizados para este caso particular no se han considerado para el resto de cifras y estadísticas que se han presentado. Una configuración con bajo nivel de seguridad realizada sobre cliente de la red eDonkey (actualización de la lista de servidores automática, o desde fuentes no oficiales) puede derivar en la conexión a los denominados servidores falsos (o maliciosos), sospechosos de proporcionar descargas poco fiables. De esta forma, se han efectuado, desde servidores falsos, búsquedas, descargas y análisis de las mismas (ver documento de Anexos, apartado 2.2.2 “Criterios de las descargas” del “Anexo II: Diseño metodológico”). En estos casos, el porcentaje de descargas manipuladas con malware ha llegado al 99,41% de las realizadas. Además de estar comprometidas, en general los productos descargados al estar conectados a servidores falsos (los de mayor popularidad en las búsquedas) no han correspondido con las búsquedas deseadas, sino que se trataban de ficheros camuflados bajo el nombre del producto buscado. Por todo ello, resulta prioritario utilizar siempre los servidores o directorios de descarga recomendados por fuentes oficiales confiables y contrastadas para minimizar el riesgo de descargas manipuladas con malware.

Análisis de la presencia de malware en las descargas de redes P2P

41

5.

CONCLUSIONES

Los resultados obtenidos y previamente detallados permiten extraer una serie de conclusiones y recomendaciones sobre los riesgos y la presencia de malware en las redes P2P que se desarrollan a continuación.

5.1.

PRESENCIA DE MALWARE EN REDES P2P

La presencia de malware en las redes P2P a nivel global es significativa, con un 9,7% de malware detectado sobre el total de las descargas realizadas, lo cual confirma a las redes P2P como un canal potencialmente importante en la distribución de malware. El malware se concentra en las utilidades asociadas a la instalación y funcionamiento de las aplicaciones y juegos descargados que necesitan licencia y no son de libre distribución (cracks, generadores de números de serie, parches de funcionalidad...). En el caso de no considerar la descarga adicional y aparte de estas utilidades la presencia de malware se hace bastante menos relevante con un 4,6% de malware detectado sobre las descargas en este caso. Además, una gran parte de este 4,6% restante es debido a este tipo de utilidades manipuladas con malware ya incluidas empaquetadas dentro de la propia descarga de la aplicación o juego.

5.2.

RIESGOS ASOCIADOS AL USO DE REDES P2P

Los valores sobre la existencia de malware dependen muy directamente de la red P2P sobre la que se efectúe la descarga. Según los datos obtenidos la red más peligrosa para su uso en descargas P2P es la red Gnutella, en la que se ha detectado que el 50,4% de las descargas estaban manipuladas con malware. Le sigue la red eDonkey/Kad, con un valor para el mismo indicador del 10,3%, si bien es cierto que dentro de esta red existen bastantes diferencias en función de la procedencia de la descarga. Así, la red Kad presenta un mayor nivel de peligrosidad, puesto que el 15,8% de las descargas de esta red estaban infectadas, frente al 4,85% del resto de descargas realizadas de eDonkey (desde búsquedas globales o de servidor). La red más segura es la red BitTorrent con sólo un 1,7% de descargas que contenían malware en esta red. Es además de extrema importancia utilizar siempre los servidores o directorios de descarga recomendados por fuentes oficiales confiables y contrastadas para minimizar el riesgo de descargas manipuladas con malware. En el caso particular de la realización de búsquedas y descargas conectado a un servidor eD2K falso, la práctica totalidad de las descargas realizadas (las de mayor popularidad en cada búsqueda) contenían malware.

Análisis de la presencia de malware en las descargas de redes P2P

42

Figura 21: Porcentajes de descargas con malware por red P2P

Malware en redes P2P

Fuente: INTECO

Se puede observar cómo las redes puras de intercambio de archivos P2P, más descentralizadas, son las más peligrosas, debido a que existen menos mecanismos de control. Cualquier usuario en estas redes, al actuar como un nodo de igual a igual con los demás de la red, puede introducir contenidos malware a compartir sin que sean bloqueados o detectados de ninguna forma en el global de la red. Por contra, las redes centralizadas o semi-centralizadas permiten ciertos mecanismos de control sobre los contenidos desde los servidores centrales o directorios de búsqueda, hecho que se deja notar en la menor presencia de ficheros manipulados con malware.

5.3.

RIESGOS POR TIPOS DE DESCARGAS

Las descargas con mayor nivel de peligrosidad son todas aquellas relacionadas con las categorías de aplicaciones y juegos. En concreto el riesgo se centra, no en el software propio de estas aplicaciones y juegos, sino en las utilidades asociadas a la instalación y uso de software que no es de utilización libre sin licencia, puesto que un 34% de estas utilidades descargadas contenían malware. De hecho la gran mayoría de las descargas infectadas en estas dos categorías son o contienen este tipo de utilidades. Además, una gran parte de las descargas comprometidas (un 84,9%), han resultado ser ficheros empaquetados, que contenían ficheros con malware. Con estos datos, los perfiles de descargas más peligrosas se pueden resumir en: • Descargas de utilidades asociadas a las aplicaciones y juegos cuyo fin es generalmente poder instalar y hacer funcionar software, normalmente de forma fraudulenta, evitando las restricciones de uso por licencia.

Análisis de la presencia de malware en las descargas de redes P2P

43

Descargas de ficheros empaquetados, en particular los que incluyen aplicaciones y juegos junto con utilidades (cracks, generadores de números de serie o parches de funcionalidad) asociadas a los mismos.

Así pues se observa una marcada relación entre el malware mayoritario distribuido en las redes P2P y la descarga de utilidades para evitar las restricciones de licencia para su completa funcionalidad. Por contra, en contenidos multimedia, protegidos en muchas ocasiones por derechos de autor, el porcentaje de ficheros comprometidos ha sido menor, con valores del 9,91% en audio, 2,13% para vídeo, y 1,03% para ficheros de texto e imágenes. De cualquier forma, es interesante resaltar que sea cual sea la categoría y el tipo de fichero de la descarga, existe riesgo de que esté manipulado con malware.

5.4.

TIPOS DE FICHEROS CON MALWARE

La mayoría de muestras malware detectadas tienen un perfil común en relación al tipo de fichero y al tamaño del mismo. Este perfil mayoritario se centra en ficheros ejecutables, con un 87,2%, y en ficheros de tamaño menor de 5MB, con un 72,8%. Así pues los ficheros más peligrosos de contener malware, una vez desempaquetadas las descargas, son ejecutables de pequeño tamaño. Este perfil coincide con la tipología de las utilidades asociadas a las aplicaciones y juegos comentados en el punto anterior. A pesar de que el perfil mayoritario de ficheros manipulados con malware coincide con la tipología históricamente mayoritaria de los ficheros maliciosos, los ficheros ejecutables, se aprecia una evolución de los ficheros maliciosos hacia nuevos tamaños y tipos. En particular se ha detectado un volumen considerable (12,7% del total de ficheros comprometidos) de ficheros multimedia, de vídeo y audio. La inclusión de exploits que aprovechan vulnerabilidades de software, descarga de codecs o reproductores maliciosos en este tipo de ficheros, han abierto una nueva vía de propagación del malware. Este hecho además está posibilitando encontrar contenidos sospechosos en ficheros de tamaños cada vez mayores, algo que antes resultaba muy inusual. Si bien una gran parte de los ficheros comprometidos sigue encontrándose entre ficheros ejecutables, en la actualidad se pueden encontrar ficheros maliciosos de cualquier otro tipo: audio, vídeo, texto o imágenes.

5.5.

HÁBITOS DE BUEN USO EN REDES P2P

La universalización de Internet, ha proporcionado la posibilidad de comunicación e interconexión del propio equipo del usuario con muchos otros en cualquier punto del planeta. Además de la multitud de ventajas que esto presenta, también conlleva algunos inconvenientes, entre ellos la probabilidad de que el equipo del usuario se vea comprometido con algún tipo de aplicación maliciosa.

Análisis de la presencia de malware en las descargas de redes P2P

44

De igual forma que hoy en día es posible ser infectado con malware al navegar por sitios no confiables o abrir correos electrónicos no deseados, las redes P2P también pueden suponer un peligro si no se toman una serie de precauciones en su utilización. Desde INTECO-CERT se recomienda siempre a todos los usuarios de Internet, como norma general, la consideración de unas pautas mínimas a nivel de seguridad: • • • • Mantener el equipo actualizado, tanto a nivel de sistema operativo como a nivel de aplicaciones. Crear y utilizar cuentas de usuarios distintas del administrador, con permisos limitados a los mínimos necesarios para poder realizar las acciones habituales. Utilizar herramientas de seguridad que ayuden a proteger y reparar el equipo ante amenazas. Mantenerse informado sobre las novedades, alertas y consejos de seguridad que nos proporcionan fuentes contrastadas como INTECO-CERT o la Oficina de Seguridad del Internauta 27 .

En el caso particular de las redes P2P, y con el fin de minimizar el riesgo de infección debido a su utilización, es conveniente tener en cuenta además una serie de medidas adicionales que preserven, en la medida de lo posible, la seguridad de nuestro equipo: • Analizar la coherencia de los ficheros encontrados desde los buscadores de descargas según los resultados esperados, en función de conceptos como el tamaño, el nombre o la extensión del propio fichero. Por ejemplo, ante descargas de ficheros multimedia se debe tener especial precaución si las extensiones de los ficheros encontrados no corresponden a formatos multimedia, siendo de otros tipos como ejecutables o de ofimática. Analizar con un antivirus actualizado todos los archivos descargados a través de las redes de intercambio de ficheros. No compartir ni descargar software que requiere de adquisición de licencia para su uso, ya que se puede incurrir en un delito además de un incremento del riesgo de verse infectado. Ejecutar el cliente P2P en una sesión de usuario con permisos limitados para aislarlo de otros componentes críticos del sistema. Modificar el nombre de las carpetas de descarga ya que muchos códigos maliciosos buscan rutas fijas para replicarse. Usar clientes de descarga populares, puesto que disponen de un mejor y continuo soporte además de más información publicada en la red que ayude a una configuración y uso correcto.

• •

• • •

OSI (Oficina de Seguridad del Internauta, http://www.osi.es): servicio de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) puesto en marcha por el INTECO para proporcionar la información y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectar a los Internautas..

27

Análisis de la presencia de malware en las descargas de redes P2P

45

Tener especial cuidado con las descargas de los productos más novedosos, puesto que no han tenido tiempo de ser verificados o validados por los usuarios de la red, además de ser un medio óptimo para la propagación de malware por ser los contenidos más buscados en las redes P2P. Descargar los ficheros que constan de mayor popularidad, es decir, aquellos con mayor número de fuentes, puesto que están contrastados por más usuarios. Examinar los comentarios, valoraciones y agradecimientos adjuntos a los productos de descarga realizados por otros usuarios de la red. Desconfiar especialmente de ficheros ya descargados en búsquedas distintas. El propio cliente indica si un fichero ha sido previamente descargado. Así pues, en el caso de dos búsquedas distintas que muestren el mismo fichero (suelen tener el nombre modificado) es probable que ese fichero contenga malware o sea falso (fake). En el caso de la red eDonkey, mantener siempre una lista de servidores actualizada, obtenida desde fuentes oficiales confiables y contrastadas, y que sea controlada de forma manual con el fin de evitar la intrusión de servidores no legítimos debido a configuraciones automáticas. Además de que el riesgo de infección por malware puede ser mayor, las descargas generalmente son falsas, y rara vez coinciden con lo deseado. En el caso de BitTorrent es importante realizar las descargas desde los portales confiables y popularmente más utilizados. Examinar cuidadosamente qué carpetas y /o ficheros se están compartiendo. Todo ello puede ser accesible a otros usuarios de la red P2P para su descarga.

• • •

• •

Análisis de la presencia de malware en las descargas de redes P2P

46

6.

GLOSARIO

Adware: malware que durante su funcionamiento despliega publicidad de distintos productos o servicios. API (Application Programming Interface): conjunto de llamadas a ciertas librerías que ofrecen acceso a ciertos servicios desde los procesos representando un método para conseguir abstracción en la programación. ARPANET: red predecesora de Internet. Backdoor: malware que abre una brecha de seguridad en el sistema infectado, posibilitando la entrada de terceros en el equipo comprometido evitando los mecanismos normales de autenticación. BitTorrent: red P2P para el intercambio de archivos basada en el uso del protocolo con mismo nombre. Blacklist: listado de URLs maliciosas. Bug: fallo en el diseño o construcción de un sistema. CERT (Computer Emergency Response Team): Equipo de Respuesta ante Emergencias Informáticas. CONAN (Configuración y Análisis, https://conan.cert.inteco.es/): herramienta de análisis de configuración del sistema desarrollado por INTECO-CERT, usada mayoritariamente en la atención de incidentes de seguridad y en la Oficina de Seguridad del Internauta, para obtener información global sobre el estado de seguridad del sistema. Cortafuegos: parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Crack: aplicación informática desarrollada para modificar el funcionamiento original de un programa, usada generalmente para activar software o saltarse protecciones y restricciones de uso impuestas por licencia.. Descarga o fichero fake: Descarga o fichero que no es finalmente lo que aparenta por el nombre o propiedades. Detección positiva: clasificación como malware por parte de un antivirus o herramienta de detección. Dialer: malware que marca un número de tarificación adicional (NTA) usando el módem. DLL (Dynamic Link Library): archivos con código ejecutable que se cargan bajo demanda de un programa por parte del sistema operativo. Ebook: libro publicado en formato digital. eDonkey: red P2P de intercambio de archivos basada en el uso de servidores. eMule: cliente de software libre para realizar descargas desde la red eDonkey. Existen muchas variantes otras como eMule MorphX.

Análisis de la presencia de malware en las descargas de redes P2P

47

Encaminador (router): dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos. Exploits: pequeños fragmentos de código que aprovechan vulnerabilidades en el software para llevar a cabo acciones ilegítimas. Falso negativo: clasificación como goodware erróneamente de una muestra malware. Falso positivo: clasificación como malware erróneamente de una muestra goodware. Firma digital: resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operación anterior, generando la firma digital. Ficheros empaquetados: ficheros que se caracterizan por ser “contenedores” de otros ficheros (como archivos comprimidos, imágenes de CD/DVD, archivos de instalación, etc.), es decir, dentro de ellos están agrupados uno o varios ficheros. F-Secure (www.f-secure.com): empresa con sede en Finlandia dedicada a la seguridad informática y producción del antivirus F-Prot. Generador de números de serie (keygen, key generator): programa informático para la generación de claves de registro válidas para aplicaciones que necesitan de una licencia. Gnutella: red P2P de intercambio de archivos basada en un protocolo descentralizado. Google Safe Browsing: interfaz desarrollada por Google para el acceso a su repositorio de URLs maliciosas. Gusano: malware que tiene la capacidad de auto-distribuirse mediante uno o varios canales de comunicación. Hash: valor numérico calculado mediante un algoritmo matemático que permite obtener un valor resumen de unos datos o fichero. Este valor identifica unívocamente unos datos o un fichero. Hay varios tipos de hash según el algoritmo aplicado. En el proyecto se contemplan los calculados según los algoritmos MD5 y SHA1. HASHKEEPER (http://www.usdoj.gov/ndic/topics/ndtas.htm): base de datos creada por el National Drug Intelligence Centre del Departamento de Justicia de los Estados Unidos que contiene información sobre hashes de ficheros conocidos. Heurística: detecciones aproximativas que realizan los motores de antivirus cuando basan sus resultados en indicios de comportamiento sospechoso. HijackThis: herramienta popular gratuita, creada por Merijn Bellekom, para eliminar spyware en los sistemas Microsoft Windows. Honeypot: software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. INTECO (Instituto Nacional de Tecnologías de la Comunicación, www.inteco.es): sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio para el desarrollo de la

Análisis de la presencia de malware en las descargas de redes P2P

48

Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. INTECO-CERT (http://cert.inteco.es): equipo de respuesta a incidentes de seguridad en tecnologías de la información de INTECO. Proporciona servicios preventivos y reactivos a pymes y ciudadanos. Inteligencia Colectiva (IC): nuevo concepto de antivirus desarrollado por Panda Security orientado a la entrega de conocimiento vía Internet mediante una base de datos online en tiempo real donde se almacenan la mayoría de los ficheros de firmas. IODEF (Incident Object Description and Exchange Format): formato de esquema de datos desarrollado por miembros de IETF (Internet Engineering Task Force) orientado al intercambio de información sobre operaciones y estadísticas de incidentes de seguridad informática entre Equipos de Respuesta. IP: Internet Protocol (Protocolo de Internet), protocolo usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados. Ipoque (www.ipoque.com): compañía alemana monitorización y control de redes informáticas. especializada en productos de

Internet Storm Center (http://isc.sans.org/): iniciativa desarrollada por el SANS Institute (instituto fundado en 1989 para otorgar certificaciones de seguridad) para la monitorización del nivel de malware de la red. Kad: red de intercambio P2P que usa una variación del protocolo Kademlia. Es utilizada por el cliente eMule desde la versión oficial 0.42. Malware Domain List (www.malwaredomainlist.com): proyecto libre sin ánimo de lucro con un amplio repositorio de URLs maliciosas. Malware: denominación común para todo tipo de software malicioso. McAfee (www.mcafee.com): empresa especializada en productos para la seguridad informática fundada en 1987 y con sede en Estados Unidos. MD5 (Message-Digest Algorithm 5): algoritmo de reducción criptográfico de 128 bits ampliamente usado. Napster: una de las pioneras de las redes P2P con gran popularidad en el año 2000 orientada especialmente al intercambio de archivos de música. NAT: Network Address Translation, (Traducción de Direcciones de Red), mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes cuyas direcciones finales son incompatibles o no se quieren revelar. NIST (National Institute of Standards and Technology): agencia del Departamento de Comercio de los Estados Unidos cuya misión es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología. El NIST dispone de otras fuentes de datos de referencia que son de amplia reputación en la red, tales como la base de datos de vulnerabilidades (NVD) según el estándar CVE. Esta base de datos es la utilizada también por INTECO-CERT para la catalogación de vulnerabilidades, siendo INTECO la entidad responsable de su mantenimiento en castellano.

Análisis de la presencia de malware en las descargas de redes P2P

49

NSRL (National Software Reference Library, www.nsrl.nist.gov) es una base de datos mantenida por el Instituto Nacional de Estándares y tecnología (NIST) de Estados Unidos con información sobre firmas digitales de aplicaciones software conocidas. Office: conjunto de aplicaciones de ofimática para el manejo y creación de presentaciones, textos, hojas de cálculo, etc. OSI (Oficina de Seguridad del Internauta, http://www.osi.es/): servicio de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) puesto en marcha por el INTECO para proporcionar la información y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectar a los Internautas. Packer: ofuscador de software para dificultar el análisis de aplicaciones. Panda Security (www.pandasecurity.com): compañía española de seguridad informática fundad en 1990 y centrada inicialmente en la producción de software de antivirus. PDF (Portable Document Format): formato de almacenamiento de documentos, desarrollado por la empresa Adobe Systems. PE (Portable Executable): es el formato de los ficheros para ejecutables, objetos de código y librerías DLL usados en las versiones de 32-bit y 64-bit de los sistemas operativos Microsfot Windows. Producto a descargar: engloba todas las descargas de software para una misma búsqueda. Pyme: pequeña y mediana empresa. RDS (Reference Data Set): formato popular de almacenamiento datos para su acceso genérico desde bases de datos. Red P2P (peer to peer): nombre común que se asigna a las redes de intercambio de archivos entre pares. Rootkits: los rootkits son programas cuya finalidad es la de ocultar procesos. Si se anexa un rootkit a otro tipo de malware, se puede hacer que tanto este, como el propio, rootkit pasen desapercibidos para el administrador del sistema. Runnscanner: herramienta gratuita que escanea el equipo en busca de cambios y modificaciones de configuración causados por virus, spyware o errores humanos. Secunia (secunia.com): compañía danesa de servicios de seguridad cuyo principal activo es el conocimiendo de vulnerabilidades para más de 12,400 aplicaciones software y sistemas operativos. Servidor falso/fake: servidor falso camuflado entre los servidores válidos de la red eDonkey con fines distintos a la realización de descargas tales como obtener información de los clientes que a él se conectan, contaminar la red con enlaces falsos o corruptos o propagar malware. SHA1 (Secure Hash Algorithm 1): sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST) en 1995.

Análisis de la presencia de malware en las descargas de redes P2P

50

Spyware: malware espía que recopila información sobre una persona u organización sin su conocimiento. Team Cymru (www.team-cymru.org): organización sin ánimo de lucro con sede en Illinois perteneciente al Gobierno Federal de los EE.UU dedicada a la seguridad en Internet. TIC: sector relativo a las Tecnologías de la Información y la Comunicación. Torrent: son ficheros utilizados por clientes de la red BitTorrent para el intercambio de archivos por la red Internet. Trazabilidad: procedimientos preestablecidos y autosuficientes que permiten conocer el histórico, la ubicación y la trayectoria de un producto. Troyano: malware que se hace pasar por un archivo legítimo para engañar al usuario y así ser ejecutado infectando el sistema. URL (Uniform Resource Locator): secuencia de caracteres, de acuerdo a un formato estándar, que se usa para nombrar recursos, como documentos e imágenes en Internet, para su localización. Virus: malware que infecta otros archivos legítimos copiando determinadas zonas de su código dentro de éstos de tal manera que al ejecutar el supuesto archivo legítimo también se ejecutará el virus. Vulnerabilidad: error de software o diseño de un programa que puede permitir la ejecución de acciones ilegítimas sobre el mismo o el sistema que lo soporta. Whitelist: listado de URLs confiables.

Análisis de la presencia de malware en las descargas de redes P2P

51