Criptografía + Ingeniería social = Ramson

Criptografía + Ingeniería social = Data Ramson

PoC. Syskey Scamm

—Buenas tardes, le habla Wilson Barreda desde Soporte Técnico de Maicrosof Corporeison. Le contacto en relación al sistema de envío de información a Maicrosof que tiene activado en su equipo. Nos facilitó su teléfono de contacto en respuesta a nuestro e-mail.

—Sí, dígame.

—¿Me puede confirmar su nombre, por favor?

—Inocencio.

Fig. 3.8. Las funciones resumen o hash, como MD5, transforman cualquier entrada en una salida con un número fijo de cifras hexadecimales.

—Es un placer, don Inocencio. Le comento: En Maicrosof hemos recibido una alerta de su sistema operativo en relación a una serie de procesos importantes detenidos. ¿Ha notado usted pérdidas de rendimiento u otras incidencias en su equipo?

—No sabría decirle. Quizás vaya un poco más lento.

—Bien, no se preocupe, don Inocencio. Su licencia Maicrosof le da derecho a un diagnóstico gratuito. Si detectamos alguna incidencia leve que se pueda solventar en el momento, se lo solucionamos sin ningún coste.

—¿Cree que puedo tener algún virus? Mis hijos siempre están descargando cosas…

—Eso es lo que queremos determinar mediante el diagnóstico. Le comento, don Inocencio: En caso de detectar un problema grave, le facilitaremos el informe técnico y un presupuesto de reparación. ¿Alguna duda don Inocencio?

—Me comenta entonces que el diagnóstico y solución de incidencias leves es totalmente gratuito.

—Correcto. Está cubierto por su licencia Maicrosof. Cuando esté usted preparado, comenzamos.

—Adelante.

Fig. 3.9. Esquema del método Present Cypher.

—Pulse Boton de Windows más "r"… Teclee msconfig… Pulse la pestaña de Servicios… Verifique que todos están activos…

—¡No, hay muchos detenidos!

—Lo que me temía. No es un falso positivo. ¿Tiene usted activada la Asistencia Remota, don Inocencio?

—No lo sé.

—No se preocupe. Siga mis instrucciones para activar la Asistencia Remota de Maicrosof. Vaya a Este Equipo…Click derecho…Propiedades…Configuración de Acceso remoto…Permitir conexiones…

…

Fig. 3.10. El poderoso algoritmo RSA de clave pública, válido tanto para cifrado como para firma digital.

—Don Inocencio, me temo que el equipo está infectado. Por favor, introduzca en el cajetín de Búsqueda de Windows, Windows Defender.

—Me dice que está desactivada la aplicación.

—Correcto. Sí, la infección es persistente. Voy a intentar eliminar manualmente. Reinicie el equipo cuando se lo pida.

…

—¡Me aparece una ventanita que me pide contraseña!

—Correcto, don Inocencio. Su equipo está infectado por el ramsonguer Syski.

—¡Pero antes nunca me había pasado esto!

—Correcto. El virus Syski ha reaccionado al intento de eliminación, cifrando el acceso al equipo. Por suerte lo hemos detectado a tiempo, antes de que detuviese todos los procesos y se hiciese con todos sus datos personales. Pero hay que actuar rápido.

—¡Necesito el ordenador, tengo datos de la empresa!

—Puedo instalarle un anti malguer de calidad con un descuento del 20% por ser usuario Maicrosof. El importe es de 100€ más IVA. Incluye garantía de eliminación de Syski. Si acepta el presupuesto, lo instalo y dejo limpio el ordenador.

—¡Acepto!

—Tome nota de los medios de pago. Desde el momento del cobro, garantizamos un plazo de seis horas para limpiar su ordenador y dejarle el anti malguer totalmente operativo.

Esta situación, novelada, por desgracia ha sido sufrida por muchos usuarios, víctimas de una peligrosa técnica de hacking: la Ingeniería Social. Lo más terrible de todo es que se engañaba a los estafados con las propias herramientas de su sistema operativo.

Es normal que tengamos procesos detenidos en msconfig. El acceso remoto puede abrir la puerta de nuestros secretos a cualquier scammer. Es normal que Windows Defender no funcione si existe otro antivirus ejerciendo sus funciones. Y lo peor de todo: El maligno ramsonguer Syskey formaba parte de las medidas criptográficas adoptadas desde las versiones NT y 2000 para paliar la floja seguridad de las contraseñas de Maicrosof.

En versiones modernas de Windows Syskey fue suprimido y se recomienda el uso de Bitlocker para la misma funcionalidad.

Fig. 3.11. Acceso a Syskey.

Unas consideraciones sobre Syskey

Alrededor del cambio de milenio, era reconocida la debilidad de los hashes LM y NTLM que almacenaban las copias cifradas de las contraseñas en entornos Windows en la SAM (Administrador de cuentas de seguridad).

Como ya comentamos, Syskey fue un parche de seguridad para mejorar el cifrado local de contraseñas. Como se ve en la figura 3.11, se encontraba habilitado por defecto. Lo que hacía ésta opción era guardar una clave maestra, repartida en varios lugares del registro. Utilizaba un algoritmo propietario, ya descifrado, y se conocían los lugares del registro dónde recuperar la clave maestra troceada. En palabras de los expertos: una llave guardada debajo del felpudo.

Otra opción bastante más segura consistía en almacenar la clave en un soporte externo. Lo malo, que el soporte debía ser ¡un disquete! Lo bueno es que, al parecer, se podía sustituir por un pendrive tras ciertas manipulaciones en el administrador de discos o en la BIOS. La tercera opción consistía en pedir la clave maestra al iniciar. Vendría a ser como una doble autenticación.

Las dos últimas opciones eran más seguras que la activada por defecto dado que la clave maestra no estba en ningún archivo.

Fig. 3.12. DNI electrónico y Sistema Cl@ve.

Buscar en este blog

[CyberMath] * {Matemáticas y Ciberseguridad}

Criptografía + Ingeniería social = Ramson

Comentarios

Publicar un comentario

Entradas populares

Termux 4. Retrohacking con telnet.

Dominios intervenidos, secuestrados y explotados.