El título bien podría ser "descargarse ejecutables desde cualquier red puede ser peligroso", pues permitir a un programa que realice acciones en tu equipo no es buena idea si no confías mucho en su procedencia, pero cuando conoces su procedencia pero lo descargas desde una red que puede tener un esquema de Man in the middle - uno de los ataques de red más comunes - esto puede ser aún más peligroso aún. En el caso de la Deep Web, en concreto en la Red TOR, tanto los nodos de entrada como los nodos de salida mantienen un esquema de Man in the middle entre el cliente y el servidor, por lo que si uno de ellos se vuelve malicioso, podría ser muy peligroso.
Figura 1: Descargar ficheros desde un nodo TOR malicioso es peligroso
Cuando estuvimos haciendo el trabajo de Owning Bad Guys {and Mafia} Using JavaScript Botnets utilizamos un servidor Proxy anónimo como esquema de Man in the middle, pero también montamos un nodo TOR de salida malicioso que manipulaba las respuestas DNS. En aquel entonces nos detectaron las medidas de seguridad y os lo dejé escrito en el artículo "Protección contra DNS Hijacking en la Red TOR".
link: https://www.youtube.com/watch?feature=player_embedded&v=_OSFROQteX4&list=PLDyIJu2O4ugdiEKDmvVg_5ZF-sNcolR98
Figura 2: Conferencia de Owning bad guys {and mafia} using JavaScript Botnets en Black Hat USA 2012
Al final, cuando nos conectamos a cualquier red siempre tenemos esquemas de Man in the middle, que pueden volverse peligros ya sea mediante un Access Point en la red WiFi que nos pueda hacer un ataque de Web Proxy AutoDiscovery, un router que nos haga un ataque SLAAC o el mismo servidor VPN que estés utilizando e infectando todos los ficheros JavaScript que descarguemos. Es por ello que autenticar y cifrar extremo a extremo es lo más deseable para garantizar que te estás conectando al elemento que quieras y que nadie en medio va a poder acceder a los datos que van en la comunicación.
Si el cifrado extremo a extremo no funciona, alguien podría meterte en una JavaScript Botnet, acceder a tus datos, o manipular los ficheros que descargas. En Hack Players hablaron hace tiempo de BDFProxy, una herramienta que en tiempo real infecta todos los archivos que pasan por un esquema de Man in the middle, lo que haría que cualquiera de esos que acabe ejecutándose en el cliente de la víctima quede comprometido.
Figura 3: Ejemplo de funcionamiento de BDFProxy para infectar binarios
Efectivamente, el manipular estos ficheros para meter el backdoor acabaría por romper cualquier firma digital del fichero que sea comprobada a posteriori. Esto, en los sistemas de actualizaciones es comprobado desde hace tiempo - o al menos debería - ya que desde que el investigador argentino Francisco Amato (@famato) publicó las técnicas de Evil Grade, se sabe que un atacante podría estar actualizando el software de su sistema operativo y alguien, con un ataque de Man in the middle, en lugar de entregar una actualización legítima entregue un backdoor para controlar el paquete.
link: https://www.youtube.com/watch?feature=player_embedded&v=0aUbfp53Fys
Figura 4: Fin fisher uso un bug de Evil Grade en iTunes para infectar Mac OS X durante años
Si esto sucede, el software de actualización no funciona, y sale un error de firma incorrecta del binario, que es lo que llevó al creador de BDFProxy a investigar los nodos de la red TOR en busca de alguno que estuviera alterando los binarios.... y acabó por encontrarlo. El nodo malicioso en concreto estaba en Rusia, y estaba infectado con bots para controlar equipos que se conectan a través de la red TOR y enviándolos a paneles de control en servidores de Internet. De hecho, uno de los binarios infectados apunta a una web del pueblo de Alcoy, donde se puede ver que en Google han quedado indexados unos enlaces "extraños" con parámetros codificados.
Figura 5: Enlaces a un posible panel de control en una de las webs que aparecen en el binario
El riegos de utilizar esquemas de Man in the middle es que al final hay que confiar en los dispositivos de red que están en medio - por eso la NSA intentaba controlarlos en sus operaciones de espionaje - y en algunas redes como CJDNS conseguir acceder a ella exige un proceso de ganarncia de confianza. Sea como fuere, si vas a bajarte un binario ejecutable, hazlo desde la conexión más confiable posible.
Saludos Malignos!