sábado, 8 de diciembre de 2018

20 minutos decide desinformar a sus lectores. Antivacunas cibernéticos

25/11/2018 domingo. Me despierto como un día cualquiera. Enciendo mi portátil. Me preparo el desayuno. Todo parecía que iba a ser un domingo normal y tranquilo, pero de repente se me atragantó la tostada cuando vi un titular de prensa. En este caso era de 20 minutos.


No me gusta compartir desinformación, pero para este caso os dejo aquí el enlace del artículo en cuestión.


Para este post vamos a hacerlo un poco distinto. Voy a comentar los puntos interesantes del post y después comentaré qué es lo que está mal.

"El miedo a infectar el teléfono móvil siempre está ahí, pero a la hora de la verdad muchos no ponen en práctica la mejor solución contra los virus: el sentido común. Existen numerosos antivirus, gratuitos y de pago, para móviles. ¿Hasta qué punto es necesario instalarse uno?"

Esto es el primer párrafo y ya menciona lo que muchas veces gente que no sabe mucho de seguridad comenta, utilizar el sentido común. Posteriormente lanza una pregunta sobre si es realmente necesario instalar un antivirus.

"La cantidad real de software malicioso que puede afectar a tu dispositivo móvil es casi inexistente siempre que se haga un uso responsable del mismo. Los antivirus existentes, por lo general, detectan bien las amenazas y pueden resultar también útiles para liberar espacio del móvil o eliminar 'cookies'. Sin embargo, consumen demasiados recursos para tareas que, a priori, el usuario puede hacer (o evitar) y a veces dan falsos positivos sobre apps que no son peligrosas. "

Aquí se lanza el segundo argumento contra los antivirus. Muchas veces se dice que los antivirus consumen demasiados recursos y además, aquí, también dice que el número de software malicioso es casi inexistente. Sí, dice que siempre que se haga un uso responsable, pero no se dice qué es un uso responsable.

"En el caso del móvil, como explican en Andro4All, si un APK intenta colarse en nuestro móvil, el usuario debería autorizar su descarga y, posteriormente, instalarlo manualmente. Tanto Android como iOS impiden que esto se haga automáticamente. La forma más habitual de infectarse es la instalación de apps modificadas o alternativas gratuitas a las de pago: generalmente estamos hablando de los APK"

En este párrafo se dice que para que una APK se cuele en nuestro teléfono (imagino que quería decir un atacante) se requieren de unos permisos en Android.

El artículo termina mencionando de nuevo que hay que utilizar el sentido común, ya que el sentido común-según 20 minutos- es un arma más poderosa que los antivirus.

Pues bien, esto es el artículo, ahora vamos a desmontarlo con las referencias del propio artículo. Es un festival, ya que tan sólo utiliza 3 referencias de 3 posts en 3 blogs o portales de noticias. Pues el primero dice esto.

"En cualquier caso, deberíamos tratar de no polarizar el debate de los antivirus simplificándolo con posiciones a favor o en contra de ellos. Como hemos dicho, la mayoría de las empresas más importantes de seguridad están para sumar en la protección de nuestros equipos, por lo que, como en el caso de los ordenadores personales, el necesitarlos o no depende en gran parte de los hábitos de uso de cada usuario."

Aunque hay muchas cuestiones a remarcar, dice que no es un tema que se deba polarizar. Es decir, la primera referencia que utiliza dice sí del sentido común, pero en ningún momento afirma el que utilizar un antivirus en el smartphone sea desaconsejable tal y como afirma el periódico.


La segunda referencia sí es más directa pues afirma que no son necesarios los antivirus, ahora eso sí, aquí tenemos el nombre de quién lo publica y el día. Nos quedamos con que es Ricardo Aguilar y que lo publica el día 06/11/2018. Pues bien, vamos a ver quién es este Ricardo y qué publica en esta web.


Quedaría muy feo que este mismo redactor, 18 días después de afirmar rotundamente que los antivirus no sean necesarios, publique una noticia en la que comente que los dispositivos más actualizados del mercado han sido hackeados con facilidad...oh wait. Lo mejor es el primer párrafo de esa noticia que ya di en Las noticias más destacadas de la seguridad del mes de noviembre sobre cómo se hackearon un iPhone X, Samsung Galaxy S9 y Xiaomi MI6. Atención al primer párrafo y medio.

"La seguridad de nuestros teléfonos móviles siempre queda en entredicho. Uses Android o iOS, debes saber que quien quiera tener acceso a tu teléfono lo va a tener, y es que todos los sistemas operativos tienen vulnerabilidades que son bastante fáciles de traspasar para los atacantes que tengan cierto conocimiento.
En la Pwn2Own 2018, una competición de hacking móvil celebrada en Tokyo los días 13 y 14 de noviembre, volvió a demostrarse lo fácil que es acceder a un teléfono, independientemente de lo moderno que sea y de que esté actualizado al último sistema operativo disponible."

Me encanta que en tan sólo 18 días se pase de "el sentido común es el arma más poderosa contra el malware en Android" a "la seguridad de nuestros teléfonos móviles siempre en entredicho", "tiene vulnerabilidades que son bastantes fáciles de traspasar",etc. Mi pregunta es ¿Qué ha pasado con el sentido común? Y esto han sido las referencias utilizadas por el 20 minutos, a lo mejor si hubiesen profundizado un poco más e investigado como todo periodista decente haría, no hubiesen publicado la basura periodística que han publicado.

Ahora que ya hemos usado sus argumentos, vamos con los míos. Vamos con los datos.

Lo del sentido común lo voy a dejar para el final, pero vamos con los argumentos de que el malware en Android es inexistente y que consumen demasiados recursos.


Aquí un estudio de Karspersky donde se ve que el malware crece bastante en los meses de invierno y desciende en verano, al menos en el 2017. Pero también hay otro estudio de Nokia donde se afirma que el malware en Android creció bastante hasta el 83% de infecciones, por lo que no, el malware en Android no es inexistente.

Aún así, voy a dejar algunos artículos más donde se habla sobre el malware en Android:

-El fake de Fornite en Android es malware
-10 apps en Google Play que infectan con malware tu smartphone
-Google detecta más de 100 apps que son malware
-Se detectan apps en Google Play que afecta a Windows

4 noticias y 2 estudios para desmontar ese punto. No tenía ganas de buscar más, pero con esos enlaces ya nos sirve para desmentirlo

Sobre el sentido común y el tema de permisos en Android.

Cuando se habla de sentido común siempre me río, porque el sentido común depende mucho de la persona, pero voy a hacer una PoC sencillita para demostrar que, aún cons entido común puedes caer en un ataque sencillo que permita el acceso a tu dispositivo por no tener antivirus.


Lo primero que vamos a hacer va a ser crear el payload específico para Android y lo vamos a bindear a una canción, en mi caso a la de los rockeros van al infierno de Barón Rojo.


Para que veais que es el mp3 malicioso, lo he pasado por VirusTotal y como podéis observar 26/60 antivirus lo detectan como malicioso. Si no utilizásemos antivirus, no lo detectaría y caeríamos en el ataque por el que el atacante tendría acceso a nuestro dispositivo.


Y no os preocupéis, porque si pasamos el mp3 malicioso por Whatsapp, Whatsapp no lo detecta como malicioso, la víctima lo podría abrir porque, a ver, si somos de confianza y le caemos bien, lo van a descargar y abrir para reproducir la canción.



Y así sin más, sin pedir permisos extra ya que se ejecuta primero la canción y por debajo se está ejecutando también el payload. A tomar por culo el sentido común y los permisos.

Bueno, también se me olvidaba que se pueden escalar privilegios en el sistema target.

Un mensaje para 20 minutos y la prensa en general

¿Tanto costaba enviar un mensaje o hacer una llamada a cualquier persona que sepa de seguridad? No hace falta que sea a mí, puede ser a cualquier compañero que trabaje en seguridad. Os daremos algunas pequeñas explicaciones para que no digáis las gilipolleces que decís confundiendo a la gente.

Los antivirus, aunque no detecten el 100% de las amenazas, son útiles para cosas como la PoC mostrada. 1 simple antivirus nos hubiese podido salvar de la PoC que he mostrado.

Pero no, era más fácil leer 4 mierdas en blogs y portales en los que hablan sin aportar referencia alguna ni ninguna prueba de una pequeña PoC que hayan realizado. No, se leen 4 mierdas ahí y en Wikipedia sin entender nada, preparan un titular más o menos llamativo y ale, pulsa en "Publicar" que ganemos visitas.

Hay que documentarse. Esto ya es algo que afecta a todos, no sólo a los periodistas. No afirmes nada si no tienes una documentación amplia que defienda lo que dices. Después la gente se confunde, pero es culpa de la prensa, la cual la escuela y universidad casi que nos ha obligado a leer porque eso lo hace gente culta. Una prensa que no se informa ni investiga lo que afirma.

Pero ¡eh! en selectividad es más importante hacer una mierda de resumen y una opinión personal sin hechos, datos ni evidencia y sacar una nota cojonuda que hacer lo que he hecho en este post. Así no vamos a ningún lado, así no avanzamos nada. Tenemos que cambiar esta situación, por eso mi obligación moral e intelectual es demandar contenido falso y confuso que me encuentre. Y aviso, voy a ser mucho más duro y exigente en 2019 con la prensa. Mucho más que lo que he sido estos años y, sobre todo, este año.

================Otros guantazos a la prensa española================
-ABC no se lee informes para tirar de racismo institucional y yo tiro de hacktivismo
-ElPaís mete miedo en algo que no era tan grave
-Guantazo a la prensa en general que habló sobre EFAIL
-ABC y la Cope hablando de la ciberreserva, bots rusos y ciberguerra
-Virus Intelectual de Ana Merino de ElPaís que habló de hackers y leyes
-El hijo de Camilo José Cela también ha caído
-Antena3 hablando sobre videojuegos y si éstos generan violencia en las personas
-Enseñando a la prensa a buscar información en Internet
-Otro guantazo general a la prensa que habló de Meltdown y Spectre
-Los medios de comunicación manipulando sobre la muerte de toreros
-Antena3 dice que los valencianos no saben valenciano
=========================================================

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...