Este es un extracto de una publicación de Jim Bates en VXheaven sobre cómo los autores de virus son atrapados en el Reino Unido desde una fecha desconocida (aunque parece muy anticuada):
Entonces, ¿cómo los encontramos?
Veamos una posible secuencia de eventos que podría conducir a la captura de un escritor de virus.
Primero, alguien sufre pérdidas o daños de una magnitud suficiente para convencerlos de que presenten una queja oficial. La queja deberá contener detalles del virus, incluida una muestra, y detalles y costos del daño o la interrupción sufrida.
- ¿Qué es SCADA y cuándo se inventó?
- Seguridad de red: ¿Cómo funciona el producto Norse - IPViking Live?
- ¿Cuál es una excelente manera de almacenar datos bancarios y contraseñas?
- ¿Cuáles son las principales herramientas que debo usar durante un concurso de CTF en todas las categorías?
- ¿Cambiar las contraseñas realmente protegerá a los usuarios en línea de Heartbleed?
Esto puede ser un problema ya que el primer objetivo de la víctima es destruir el virus y reanudar las operaciones normales lo antes posible. En el caso de Black Baron, analicé más de 57 muestras de virus de varios denunciantes. La mayor cantidad de cualquier sitio fue de 9 muestras, pero la mayoría envió solo una o dos. La presencia de un “número de generación” dentro del código del virus permitió identificar qué muestras realmente habían introducido el virus en algunos casos, pero un mayor número de muestras habría facilitado mucho el trabajo de rastrear la infección. Es este proceso de rastreo el que es tan difícil.
Las víctimas rara vez son capaces de determinar exactamente de dónde proviene la infección, en particular si el virus está diseñado para infectar lenta y silenciosamente. Una vez que se ha establecido un origen, se pueden realizar consultas para tratar de rastrear más atrás a lo largo de la cadena. Un problema importante para los creadores de virus es cómo llevar su código a la comunidad informática. Algunos pueden cargar archivos infectados en tableros de anuncios o sitios de Internet. Otros pueden intentar pasar físicamente programas infectados. Cualquiera que sea el método elegido, esta distribución inicial es el área más peligrosa para el escritor de virus. En el caso de Black Baron, la policía siguió las quejas recibidas y pudo determinar que el software inicialmente infectado se había descargado de varios tableros de anuncios. Con la ayuda de los operadores de BBS y la compañía telefónica, los registros de actividad y los registros de facturación telefónica revelaron la fuente de las cargas originales. Hubo otras consideraciones que no necesitan ser discutidas aquí, pero el resultado neto fue que la Policía sabía exactamente cuándo y de dónde procedían los programas infectados.Varios demandantes pidieron confidencialidad completa y esto fue respetado porque había muchos otros dispuestos a presentarse ante el tribunal. Sin embargo, los usuarios deben aceptar que si quieren justificaciones deben estar preparados para hacer públicas sus quejas.
Una vez que se ha detectado e identificado el autor de las infecciones, las investigaciones de la Policía pueden enfocarse en serio y eventualmente resultarán en una operación de búsqueda y captura. Se emite una orden de allanamiento y se visitará la casa del sospechoso (y posiblemente su lugar de trabajo) y se incautará todo el equipo informático para su investigación.
El sospechoso es entrevistado e interrogado sobre las presuntas ofensas y su equipo se examina minuciosamente en busca de cualquier evidencia que lo vincule a los virus.
En un caso, el sospechoso se dio cuenta del interés de la policía y tomó medidas para desinfectar completamente sus computadoras y su código fuente de virus. También envió su máquina para guardarla a un amigo, pensando que esto lo dejaba a salvo. Cuando llegó la policía, no se encontró ningún equipo informático de ningún tipo y negó cualquier participación en la informática. Sine the Police era muy consciente de sus actividades recientes, y podía probarlas, esta negación simplemente confirmó que tenía algo que ocultar. ¡La policía sabía sobre el amigo y también lo había visitado! Se incautaron varias computadoras y el código fuente oculto se encontró e identificó rápidamente. Incluso sin el código fuente, los cargos aún se habrían presentado, pero encontrarlo hizo que el caso fuera mucho más fuerte.
Fuente: Catching The Virus Writers
