sábado, 3 de marzo de 2012

¿Nuevo Troyano o Google?

Hace un tiempo publicaba un articulo en Seguridad a lo Jabalí sobre las "distintas conexiones" establecidas por nuestra maquina, algunas de estas conexiones un poco sospechosas. Normalmente en seguridad se informa a los usuarios o se intenta desmitificar la Leyenda de .... "Mi ordenador va muy lento tengo un bicho", esto no es cierto los troyanos, los verdaderamente peligrosos, son muy silenciosos.

Aunque es cierto que a la mínima señal de lentitud de la maquina o la conexion, al menos echas un vistazo, podría ser un ataque Man in the Middle, que la maquina estuviera enviando SPAM o que los recursos del equipo se utilizaran para obtener BitCoins.

Hoy al revisar las conexiones me llamo la atención un numero bastante alto de ellas en estado ESTABLISHED, así que, "a mirar toca" ...

Normalmente en esta maquina la pagina de inicio del navegador es IGoogle, es decir, necesita cargar una serie de datos respecto a las paginas que sigo por RSS, el Mail, etc.

Pero incluso al cerrar el navegador las conexiones tardan varios minutos en cerrarse, esto es debido a que aunque cierres el navegador al ser conexiones establecidas todavía circulan datos.

Había que asegurarse de que esas destinos fueran legítimos, y no fueran conexiones a un dominio malicioso, con lo que mi equipo formaría parte de una Botnet o Red de Maquinas Zombies.


Otra vez AKAMAI, en el articulo anterior escribía sobre esta empresa que se dedica a descargar trafico de Redes muy saturadas realizando una especie de servicio de Proxi, que monitoriza todo este trafico.
Entonces recordé que estamos en Marzo, es decir, la Nueva política de Google ya se esta aplicando, Articulo Sobre la Política de Google .

Según la política de Google ahora puede recolectar todo tipo de datos sobre tu sistema operativo, conexiones, versiones de Software, direcciones y paginas que visitas, etc.

Todo esto requiere conexiones activas en la maquina cliente que envíen toda esa información a los Servidores de Google.

Y aquí esta ... Resuelto el misterio, una serie de conexiones Establecidas por distintos puertos y destino a varios servidores que investigando un poco las direcciones IP pertenecen a Google.

Después de realizar distintas pruebas las conexiones se cierran y abren cada cierto tiempo, en funcion también del uso que estés haciendo del navegador.

Tambien verifique las IP desde distintas paginas para segurarme de que pertenecían a Google.

Un Dato curioso, a día de hoy en España, un simple escaneo de puertos puede interpretarse como un intento de ataque a un Sitio Web de una Empresa, con las consecuencias legales que eso implica.


Otro Dato Interesante, podríamos Definir un Troyano como un software que interactuando con nuestra maquina, abre conexiones sin nuestro conocimiento, para enviar datos a un servidor al que No realizamos ninguna petición de Servicio.

Este Troyano enviaría datos de nuestra maquina así como versión del Sistema Operativo, Software instalado, Datos Personales.

Hasta aquí llega el Informe, cada uno que extraiga sus propias conclusiones, desde luego La Ley de Protección de Datos a nivel de la Comunidad Europea plantea endurecer las medidas contra aquellas empresas que con Condiciones de Servicio o Sin Ellas vulneren nuestros derechos, así el que se mueva en "Aguas Pantanosas que no se Queje después".

Seguridad a lo Jabali para Todos!!

3 comentarios:

  1. Villaveiran... que te leo aunque no te comente últimamente, que lo sepas que ando de vez en cuando por aqui, chao majo!!!

    ResponderEliminar
  2. Muchas gracias, me alegro mucho, un saludo XD

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias