• Tweet

En una entrevista realizada por InfoWorld, el experto en cómputo forense, el Dr. Neal Krawetz revela como lo escrito desde el teclado y otras pistas pueden usuarios maliciosos en línea.

El Dr. Neal Krawetz, con posdoctorado en Ciencias de la Computación y renombrado experto en cómputo forense “no clásico”, el cual se enfoca en las formas de identificar a la gente anónima en línea. Krawetz, quien es el jefe de Hacker Factor Solutions, es pionero en métodos de identificación como finger tapping, errores de sintaxis, posteos errantes de blogs, todo esto es el forraje del análisis de Krawetz, cuyas piezas colocadas juntas de evidencia de incriminación para identificar a los chicos malos en línea.

Después de la reciente presentación de Krawetz en el Black Hat Briefings en Las Vegas, recibió preguntas sobre todo de su implicación sobre el seguimiento de gente anónima en el Internet.

La investigación de Krawetz coloca juntos factores y muestras indicadoras con los métodos actuales de escritura de grupos de noticias, posteos de blogs, canales IRC, y otros remansos del Internet para construir perfiles de individuos. Entre las conclusiones de Krawetz: Más de la mitad de la gente en la página de blogs MySpace quien dice ser mujer es probablemente hombre.

Krawetz fue entrevistado por el Editor Principal de InfoWorld, Paul F. Roberts, en el Black Hat Briefings en Las Vegas para hablar a cerca de su investigación y una de sus demandas más discutidas: que él podría haber identificado al autor de malware Agobot, Phatbot y rBot.

InfoWorld: ¿Qué es lo que usted hace diferente del forense clásico-

Dr. Nearl Krawetz: El forense clásico es tratar y probar. Se han probado en una corte judicial. La mayoría del forense clásico son cosas como “analizar un disco duro” o “utilizar un encabezado de correo electrónico”. Esto ha sido así por mucho tiempo. El forense no clásico son cosas que están mucho más del lado experimental. Hay ciencia detrás de esto. El acercamiento es básicamente científico.

IW: ¿Qué puede hacer en un forense clásico que no pueda hacer en un forense clásico- ¿Qué ventajas existen-

NK: Se puede obtener mucho mas información. Por ejemplo: ¿existen dos documentos escritos por el mismo autor-, o ¿El autor es derecho o zurdo- Estas no son cosas que se puedan encontrar en un disco duro.

IW: En su platica, analizó el código fuente de los gusanos Agobot y Phatbot e hizo conexiones entre este código y un exploit escrito por “Wirepair”. ¿Podría explicar esto-

IW: La principal cosa es que existe un chico llamado Nils que contribuyó con código para Agobot. De hecho, si mira la forma de dos archivos diferentes de Wirepair y Nils, existe únicamente una diferencia. Esto no es solo una sección, esto es una gran cantidad de código. El tomó el archivo completo (exploit). Otro código de Wirepair también aparece en Phatbot y este parece ser la base del código fuente de dcom2scanner y de wdscanner. Que tipo de cosas. Por lo que se tienen dos personas que aparentan tener código que contribuye a Agobot. La gran pregunta es, ¿son la misma persona-

IW: ¿Son la misma persona-

NK: No. Lo que mostré es que, a través de un análisis escrito, Nils observó a Wirepair de seis meses a un año. Tan pronto con Wirepair pudo colocar un buen exploit, Nils pudo tomar el código e inmediatamente ponerlo en su código. Lo Wirepair hizo fue proporcionar la funcionalidad del exploit. Algunos de ellos son escaners activos. No puedo decir que él escribió algo para un virus. Pero alguien más tomo su código y lo colocó en uno. Los qué él liberó fue bastante atractivo.

IW: ¿No existe nada ilegal sobre liberar el código del exploit, aunque, esté ahí-

NK: En cuanto a la ilegalidad, no soy abogado. Yo no puedo decir si esto es ilegal o no. Una interpretación podría ser que esto es como colocar una arma afuera de casa. No eres responsable por dispararle a alguien. El proporcionó un trabajo de prueba de concepto.