stringtranslate.com

Criptovirología

La criptovirología se refiere al estudio del uso de la criptografía en malware , como ransomware y puertas traseras asimétricas . [ cita requerida ] Tradicionalmente, la criptografía y sus aplicaciones son de naturaleza defensiva y brindan privacidad, autenticación y seguridad a los usuarios. La criptovirología emplea una variante de la criptografía, demostrando que también se puede utilizar de manera ofensiva. Se puede utilizar para montar ataques basados ​​en extorsión que causan pérdida de acceso a la información, pérdida de confidencialidad y fuga de información, tareas que la criptografía generalmente previene. [1]

El campo nació con la observación de que la criptografía de clave pública se puede utilizar para romper la simetría entre lo que un analista de antivirus ve con respecto al malware y lo que ve el atacante. El analista de antivirus ve una clave pública contenida en el malware, mientras que el atacante ve la clave pública contenida en el malware, así como la clave privada correspondiente (fuera del malware), ya que el atacante creó el par de claves para el ataque. La clave pública permite que el malware realice operaciones unidireccionales en el equipo de la víctima que solo el atacante puede deshacer.

Descripción general

El campo abarca ataques de malware encubiertos en los que el atacante roba de forma segura información privada como claves simétricas, claves privadas, estado PRNG y datos de la víctima. Ejemplos de tales ataques encubiertos son las puertas traseras asimétricas . Una puerta trasera asimétrica es una puerta trasera ( por ejemplo , en un criptosistema ) que solo puede usar el atacante, incluso después de encontrarla. Esto contrasta con la puerta trasera tradicional que es simétrica, es decir , cualquiera que la encuentre puede usarla. La cleptografía , un subcampo de la criptovirología, es el estudio de las puertas traseras asimétricas en algoritmos de generación de claves, algoritmos de firma digital , intercambios de claves, generadores de números pseudoaleatorios, algoritmos de cifrado y otros algoritmos criptográficos. El generador de bits aleatorios NIST Dual EC DRBG tiene una puerta trasera asimétrica. El algoritmo EC-DRBG utiliza el cleptograma de registro discreto de la cleptografía, lo que por definición convierte al EC-DRBG en un criptotroyano. Al igual que el ransomware, el criptotroyano EC-DRBG contiene y utiliza la clave pública del atacante para atacar el sistema anfitrión. El criptógrafo Ari Juels indicó que la NSA organizó efectivamente un ataque cleptográfico contra los usuarios del algoritmo de generación de números pseudoaleatorios Dual EC DRBG y que, aunque los profesionales de seguridad y los desarrolladores han estado probando e implementando ataques cleptográficos desde 1996, "sería difícil encontrar uno en uso real hasta ahora". [2] Debido a la protesta pública sobre este ataque criptovirológico, el NIST rescindió el algoritmo EC-DRBG del estándar NIST SP 800-90. [3]

Los ataques encubiertos de fuga de información llevados a cabo por criptovirus, criptotroyanos y criptogusanos que, por definición, contienen y utilizan la clave pública del atacante son un tema importante en criptovirología. En el "robo de contraseñas denegable", un criptovirus instala un criptotroyano que cifra asimétricamente los datos del host y los transmite de forma encubierta. Esto hace que estén disponibles para todos, que nadie (excepto el atacante) los note [ cita requerida ] y que solo el atacante pueda descifrarlos. Un atacante que sea sorprendido instalando el criptotroyano afirma ser una víctima del virus. [ cita requerida ] Un atacante que reciba la transmisión asimétrica encubierta es uno de los miles, si no millones de receptores, y no exhibe información de identificación alguna. El ataque de criptovirología logra la "negación de extremo a extremo". Es una transmisión asimétrica encubierta de los datos de la víctima. La criptovirología también abarca el uso de la recuperación de información privada (PIR) para permitir que los criptovirus busquen y roben datos del host sin revelar los datos buscados incluso cuando el criptotroyano está bajo vigilancia constante. [4] Por definición, un criptovirus de este tipo lleva dentro de su propia secuencia de codificación la consulta del atacante y la lógica PIR necesaria para aplicar la consulta a los sistemas host.

Historia

El primer ataque criptovirológico y la primera discusión del concepto fue por Adam L. Young y Moti Yung , en ese momento llamado "extorsión criptoviral" y fue presentado en la conferencia IEEE Security & Privacy de 1996. [1] [5] En este ataque, un criptovirus, criptogusano o criptotroyano contiene la clave pública del atacante y encripta de forma híbrida los archivos de la víctima. El malware solicita al usuario que envíe el texto cifrado asimétrico al atacante, quien lo descifrará y devolverá la clave de descifrado simétrica que contiene por una tarifa. La víctima necesita la clave simétrica para descifrar los archivos cifrados si no hay forma de recuperar los archivos originales (por ejemplo, de las copias de seguridad). El documento IEEE de 1996 predijo que los atacantes de extorsión criptoviral algún día exigirían dinero electrónico , mucho antes de que existiera Bitcoin . Muchos años después, los medios rebautizaron la extorsión criptoviral como ransomware . En 2016, los ataques criptovirológicos a los proveedores de atención médica alcanzaron niveles epidémicos, lo que llevó al Departamento de Salud y Servicios Humanos de los EE. UU. a emitir una hoja informativa sobre ransomware e HIPAA . [6] La hoja informativa establece que cuando la información médica electrónica protegida se cifra mediante ransomware, se ha producido una infracción y, por lo tanto, el ataque constituye una divulgación que no está permitida por HIPAA, ya que el fundamento es que un adversario ha tomado el control de la información. Es posible que los datos confidenciales nunca salgan de la organización víctima, pero la intrusión puede haber permitido que se enviaran datos sin ser detectados. California promulgó una ley que define la introducción de ransomware en un sistema informático con la intención de extorsionar como algo contra la ley. [7]

Ejemplos

Virus del temblor

Si bien los virus en estado salvaje han utilizado criptografía en el pasado, el único propósito de dicho uso de criptografía era evitar que los programas antivirus lo detectaran . Por ejemplo, el virus del temblor [8] utilizó el polimorfismo como técnica defensiva en un intento de evitar que el software antivirus lo detectara. Si bien la criptografía ayuda en estos casos a mejorar la longevidad de un virus, las capacidades de la criptografía no se utilizan en la carga útil. El virus One-half fue uno de los primeros virus conocidos por haber cifrado los archivos afectados.

Virus Tro_Ransom.A

Un ejemplo de un virus que informa al propietario de la máquina infectada que pague un rescate es el virus apodado Tro_Ransom.A. [9] Este virus le pide al propietario de la máquina infectada que envíe $ 10,99 a una cuenta determinada a través de Western Union .
Virus.Win32.Gpcode.ag es un criptovirus clásico. [10] Este virus utiliza parcialmente una versión de RSA de 660 bits y encripta archivos con muchas extensiones diferentes. Le indica al propietario de la máquina que envíe un correo electrónico con una dirección de correo electrónico determinada si desea el descifrador. Si se contacta con el usuario por correo electrónico, se le solicitará que pague una cierta cantidad como rescate a cambio del descifrador.

CAPI

Se ha demostrado que utilizando sólo 8 llamadas diferentes a la API criptográfica de Microsoft (CAPI), un criptovirus puede satisfacer todas sus necesidades de cifrado. [11]

Otros usos del malware con criptografía habilitada

Además de la extorsión criptoviral, existen otros usos potenciales de los criptovirus, [4] como el robo de contraseñas denegables, los criptocontadores, la recuperación de información privada y en la comunicación segura entre diferentes instancias de un criptovirus distribuido.

Véase también

Referencias

  1. ^ ab Young, A.; Moti Yung (1996). "Criptovirología: amenazas a la seguridad basadas en la extorsión y contramedidas". Actas del Simposio IEEE sobre seguridad y privacidad de 1996. págs. 129-140. doi :10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2. S2CID  12179472. Archivado desde el original el 8 de octubre de 2022 . Consultado el 8 de octubre de 2022 .
  2. ^ Larry Greenemeier (18 de septiembre de 2013). «Los esfuerzos de la NSA por evadir la tecnología de cifrado dañaron el estándar de criptografía estadounidense». Scientific American. Archivado desde el original el 18 de agosto de 2016. Consultado el 4 de agosto de 2016 .
  3. ^ "NIST elimina algoritmo de criptografía de recomendaciones de generadores de números aleatorios". Instituto Nacional de Estándares y Tecnología . 21 de abril de 2014. Archivado desde el original el 29 de agosto de 2016. Consultado el 13 de julio de 2017 .
  4. ^ ab A. Young, M. Yung (2004). Criptografía maliciosa: exposición de la criptovirología . Wiley. ISBN 0-7645-4975-8.
  5. ^ Korsakov, Alexey (2014). Criptovirología y software malicioso (PDF) (Tesis de maestría). Universidad de Finlandia Oriental , Departamento de Informática.
  6. ^ "HOJA INFORMATIVA: Ransomware y HIPAA" (PDF) . HHS . Archivado (PDF) del original el 13 de abril de 2018 . Consultado el 22 de julio de 2016 .
  7. ^ SB-1137 que modifica la Sección 523 del Código Penal.
  8. ^ "Descripción de Tremor | F-Secure Labs". www.f-secure.com . Archivado desde el original el 24 de junio de 2021. Consultado el 2 de marzo de 2021 .
  9. ^ "Sophos Security Labs: prevención de amenazas de malware en tiempo real". Archivado desde el original el 10 de mayo de 2008. Consultado el 23 de mayo de 2008 .
  10. ^ "Securelist". securelist.com . Archivado desde el original el 7 de abril de 2015 . Consultado el 2 de marzo de 2021 .
  11. ^ Young, Adam L. (2006). "Extorsión criptoviral utilizando la API criptográfica de Microsoft". Revista internacional de seguridad de la información . 5 (2): 67–76. doi :10.1007/s10207-006-0082-7. S2CID  12990192.

Enlaces externos