Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/03/2014
Camaleon, un virus per a punts d'accés WiFi
Un nou malware ha botat a l’escena mediàtica. Amb el nom de Camaleó o Chameleon i amb frases com "el virus que es propaga com la grip", s’ha anunciat un virus capaç de propagar-se a través de xarxes WiFi entre punts d’accés.
Un equip de tres investigadors del Regne Unit ha desenrotllat un virus capaç de propagar-se entre xarxes WiFi i infectar-hi punts d’accés. Encara que la idea no és nova i hi havia ja anàlisis teòriques sobre esta possibilitat, és la primera vegada que es demostra en la pràctica. Batejat com "Chamaleon" (Camaleó) s’ha desenrotllat i demostrat en la pràctica en un entorn tancat, de "laboratori".
Concretament, l'èxit d'esta investigació és degut als investigadors Jonny Milliken (de l’Institut d’Electrònica, Comunicacions i Tecnologies de la Informació de la Universitat de la Reina de Belfast), Valerio Selis (de l’Observatori de Tràfic del Parc de Ciències d’Irlanda del Nord) i Alan Marshall (del Departament d’Enginyeria Elèctrica i Electrònica de la Universitat de Liverpool).
Este nou virus empra una tècnica d’atac WLAN que infecta i es propaga entre punts d’accés WiFi. A diferència dels atacs habituals sobre xarxes WiFi, on es crea un punt d’accés fals addicional que emmascara les credencials i la informació de la víctima, este virus recrea un nou punt d’accés fals, però en esta ocasió ocupant la localització exacta del punt d’accés autèntic.
Bàsicament, el virus actua de la manera següent:
- Establix una llista de punts d’accés susceptibles dins de la localització actual.
- Evita qualsevol tipus de seguretat de xifratge del punt d’accés.
- Evita la interfície administrativa del punt d’accés.
- Identifica i guarda la configuració del punt d’accés.
- Reemplaça el firmware del punt d’accés en els punts d’accés vulnerables amb firmware carregat pel virus.
- Reinicia el punt d’accés víctima amb la configuració del sistema.
- Propaga el virus (torna a 1).
Bàsicament, actua com qualsevol altre malware clàssic, infecta i es reproduïx. En esta ocasió infecta el firmware de dispositius vulnerables i es propaga pel canal que empren estos dispositius: la xarxa WiFi.
És ací on caldria fer una distinció clau. Este agent maliciós només afecta a routers WiFi amb vulnerabilitats conegudes i explotables i no, per descomptat, qualsevol dispositiu que estiga prop del seu àmbit d’acció.
La novetat residix en l’ús d’un nou canal per a la distribució del virus; al principi els virus necessitaven un disc per a propagar-se. Amb la popularització de les xarxes LAN van començar a propagar-se per este mitjà i amb l’extensió d’Internet el malware va passar a utilitzar Internet per a infectar més sistemes. Ara, és el torn de les xarxes WiFi, i encara que per ara es tracta d’un virus de laboratori i només infecta punts d’accés, no deixa de ser un primer pas per al que pot estar per arribar.
Este virus no altera el comportament del tràfic, tan sols recol·lecta informació dels usuaris connectats a la xarxa infectada, després de la qual cosa busca altres dispositius als quals infectar. Però no és difícil imaginar altres escenaris i possibilitats.
Per descomptat, la notícia i el nou descobriment no deixa de tindre un gran interés, pel que pot arribar a suposar. Però la càrrega negativa ve per algunes notícies que, amb un cert punt de sensacionalisme, alarmisme o amb un missatge que pot causar confusió, han alertat amb frases com "un virus informàtic que es transmet com la grip". Per descomptat, basant-se en el comportament del virus, que evidentment es transmet per l’aire, però amb un missatge que per a usuaris amb pocs coneixements pot donar lloc a determinats equívocs i malentesos.