Lo que debe saber acerca de Grayware (y qué hacer al respecto) - Seguridad de la información

Breaking

Webs Amigas

viernes, 9 de noviembre de 2018

Lo que debe saber acerca de Grayware (y qué hacer al respecto)


Grayware es un problema de seguridad complicado, pero hay pasos que puede tomar para defender su organización cuando reconoce el riesgo.

Grayware puede recopilar información sensible

Grayware puede realizar tareas legítimas, pero hay un precio que pagar, a menudo en términos de la información que el software captura mientras hace su trabajo. No todos los casos son tan obvios como el 
Persian Stalker identificado por Cisco Talos, pero la información recopilada puede tomar varias formas.

Algunos grayware pueden recopilar información abiertamente dentro de su código de aplicación, y las probabilidades son buenas de que sus usuarios hayan aceptado la acción. Todo lo que usted (y ellos) tienen que hacer es leer el párrafo 321, subsección c, del acuerdo de licencia, y está ahí. Otros grayware pueden dejar las cookies de rastreo dispersas, usar incrustaciones de un solo píxel, o simplemente olvidar mencionar el keylogger que llevan consigo. Sin embargo, en cualquiera de estos ejemplos, la información confidencial está dejando a la organización sin permiso, y eso es un problema.

Grayware hace más ruido malicioso
 Los profesionales de seguridad a menudo se quejan de la gran cantidad de datos que ellos, y sus sistemas, deben clasificar para encontrar ataques y explotaciones. Grayware empeora este problema al agregar posibles aplicaciones no deseadas y sus datos a la mezcla general.La primera forma en que grayware se agrega al "ruido" es a partir de un simple software adicional. La presencia de más aplicaciones significa más aplicaciones que deben analizarse, implementarse, configurarse y administrarse. Luego viene más ruido.Grayware tiende a existir para servir anuncios, recopilar datos, o ambos. Todo esto requerirá tráfico de red con un servidor de comando y control (C&C) en algún lugar fuera de la organización, tráfico que debe ser detectado y analizado. Eso hace que el volumen general de datos sea grande, lo que hace que el nivel de ruido sea más alto y crea un desorden que debe eliminarse antes de que se pueda encontrar tráfico malicioso real. Incluso si el grayware no está haciendo nada malicioso por sí solo, su presencia y actividad hacen que sea más fácil que el malware se oculte.

Grayware puede ocultar Malware

Avanzando un paso más allá de simplemente proporcionar un escondite para el malware, grayware puede incluir malware incorporado en el paquete, escondiéndose entre las aplicaciones, los ayudantes y los servicios que afirman ofrecer a los usuarios un mayor valor por su tiempo de descarga.

Entre las piezas de malware que viajan en las prendas de Grayware se encuentran los troyanos que se hacen pasar por la protección antivirus, los navegadores que no lo hacen y ejemplos de casi todos los tipos de carga maliciosa que vienen con nombres y descripciones que indican que son software legítimo.

La mayoría de estos ejemplos de malware deben ser detectados por la protección antimalware, pero las rutinas de instalación de software que lanzan tanto grayware pueden proporcionar cobertura para el malware lo suficientemente largo como para que pueda rootear y ganar persistencia en la máquina víctima.

Grayware puede ocultar aplicaciones falsas

Digamos que esperaba tener iTunes cargado en su computadora: busca el software, toma la primera sugerencia y termina con un administrador de música y un reproductor llamado "iPrunes". Mientras puedas poner música en marcha, no hay daño ni falta, ¿verdad? No tan rapido.

Una de las razones para quedarse con el software legítimo que buscó es que la mayoría de los editores de software legítimos se han vuelto mucho más transparentes sobre su recopilación y uso de la información del cliente. Pero las aplicaciones falsas que son marginalmente funcionales pueden recopilar mucha más información de la esperada y utilizarla de forma mucho más intrusiva.

Y ese "marginalmente funcional" es clave: desarrollar una aplicación compleja y moderna no es fácil, incluso para grandes editores legítimos. Con grayware, los usuarios invitan a una funcionalidad deficiente, confiabilidad sospechosa y software que choca con otras aplicaciones escritas comercialmente.

Grayware puede meterse con las funciones del navegador

Los navegadores se han vuelto mucho más resistentes a los ayudantes de navegadores no deseados de lo que alguna vez fue el caso, pero todavía hay muchas organizaciones que, por una razón u otra, usan navegadores más antiguos. Y donde haya información que se encontrará, habrá intentos de recopilarla por cualquier medio posible.

Los ataques de navegador toman dos formas amplias, ya sea recolectando información no autorizada o enviando solicitudes a destinos no deseados. El primero tiene implicaciones obvias de seguridad para las TI de las empresas, y el segundo es peligroso debido a la variedad de malware que se puede enviar a través de un navegador. Y debido a los muchos anuncios de terceros que infestan la mayoría de los sitios web de la actualidad, es posible que los usuarios ni siquiera noten los múltiples redireccionamientos que pueden ocurrir cuando los complementos del navegador los envían al sitio malicioso y luego al destino original.

Grayware puede comer ancho de banda

Muchos usuarios piensan que el ancho de banda de la red es ilimitado y gratuito. Los profesionales de TI saben que nada es cierto y que la comunicación constante (o incluso la extracción ocasional de datos) entre grayware y sus servidores de C&C puede ayudar a absorber el ancho de banda mejor utilizado por las aplicaciones legítimas.

Muchos autores de malware han desarrollado sus aplicaciones para enviar datos en pequeños flujos diseñados para evitar que los sistemas de seguridad los detecten. Eso significa que es improbable que Grayware consuma ancho de banda al nivel de, digamos, empleados que transmiten juegos durante la Final Four de baloncesto. Pero si los empleados que han descargado grayware informan a sus compañeros, la fuga de datos puede sumarse y comenzar a tener un impacto en el rendimiento general de la red.

Y al igual que las aplicaciones en sí, los datos de grayware pueden empeorar la relación señal / ruido en la red, lo que aumenta la dificultad para los equipos de seguridad que intentan eliminar el tráfico malicioso del flujo total.

¿Qué puedes hacer con respecto a Grayware?
 Dado que grayware es en gran medida una definición, más que un problema técnico, las respuestas sobre qué hacer al respecto pueden ser complicadas. Los sistemas de protección antimalware pueden bloquear el Grayware, pero solo después de que una organización defina algo como no deseado. "Nuestras soluciones marcan este tipo de software como programas potencialmente no deseados, pero depende de las organizaciones colocarlos en el contexto de su negocio y decidir si quieren bloquearlo", según Vitor Ventura de Cisco Talos.

Otro paso crítico es capacitar a los usuarios para que tengan cuidado sobre dónde obtienen el software. "Piense detenidamente la fuente de su aplicación y trate de obtenerla de un proveedor legítimo", dice Wizniewski de Sophos. Una parte importante de esta educación es convencer a los usuarios de que un lugar destacado en una página de búsqueda de Google no tiene legitimidad. Los proveedores de grayware han jugado bien el juego de optimización de motores de búsqueda para que sus sitios aparezcan por encima de los de los editores de software legítimos.


Finalmente, muestre a los usuarios cómo pueden trabajar con el departamento de seguridad para evaluar las aplicaciones antes de la instalación. Grayware es, en la empresa moderna, un subproducto de la carrera hacia una fuente de software más rápida y conveniente. Reduzca la fricción para los usuarios, y gran parte de la atracción de grayware desaparecerá.

Fuente: https://www.darkreading.com/       

No hay comentarios:

Publicar un comentario