Mercè Molist
La Web 2.0, con sus tecnologías dinámicas y bulliciosas comunidades,
ha convertido el antaño tranquilo territorio de la web en un Salvaje
Oeste. A medida que llegaban los colonos, lo hacían también los
criminales, instalando mil trampas para cazar los ordenadores de los
incautos. Caer en ellas es tan sencillo como visitar un sitio con un
navegador o sistema operativo que tengan algún fallo de seguridad,
no necesariamente conocido.
Según la empresa Sophos, cada día se descubren 6.000 nuevas páginas
infectadas en la World Wide Web. Sus propietarios, en el 83% de los
casos, ni tan sólo lo saben. Alguien ha aprovechado un agujero de
seguridad para colarles un código malicioso que infectará a sus
visitantes: una ventana emergente les pedirá si aceptan descargar un
archivo para visualizar mejor la página. Este archivo contendrá el
virus.
Y no será un virus cualquiera, sino un virus inteligente,
perteneciente a una nueva generación llamada Malware 2.0, capaz de
detectar el sistema operativo y navegador de su futura víctima para
instalarle el código malicioso adecuado. En cada vez más ocasiones,
ya no es necesario que el visitante acepte descargar nada: el virus
se introduce automáticamente en su ordenador mediante un pequeño
programa escondido en la página visitada.
Cada día se conocen nuevos ataques de este tipo, especialmente en
las redes sociales. La más castigada es MySpace por una sencilla
razón que explica Luis Corrons, director técnico de PandaLabs: "Los
creadores de código malicioso intentan que la distribución de su
código afecte al mayor número de usuarios y, cuanto más grande y
activa sea una red social, más fácil será".
Hasta hace unos años, el crimen más popular en la web eran los
"webdefacements": asaltos en los que se modificaba la portada del
sitio con un mensaje al estilo "Yo estuve aquí". Hoy, en vez de
mensajes se introducen programas maliciosos que infectarán a los
visitantes. Al principio estaban en sitios poco confiables y había
que mandar correo basura con enlaces para que la gente acudiese a
ellos. Ahora se infectan anuncios y sitios legítimos.
Las primeras redes sociales atacadas fueron Orkut y MySpace, en
2005. Ambas tenían errores de "Cross Site Scripting" (validación
incorrecta del HTML), el mayor problema de seguridad de la Web 2.0
junto con los controles JavaScript y ActiveX. Los asaltantes
introdujeron gusanos en perfiles de estas redes que, al ser
visitados por personas con navegadores vulnerables, infectaban sus
perfiles y estos, a otros. Hubo miles de infecciones en minutos.
Desde entonces las redes sociales han visto de todo: foros e
invitaciones de amistad que piden al visitante que descargue un
programa para poder visualizar una foto, una película, una postal de
aniversario. Actualizaciones de conocidos programas que en realidad
son virus. Programas anti-espías que en realidad instalan espías. Y
el viejo delito del robo de datos.
En enero, una persona anónima hacía públicas medio millón de
imágenes sacadas de perfiles supuestamente privados de MySpace. No
era la primera vez. Por las mismas fechas, el periódico "The New
York Times" denunciaba que Facebook no borra de sus servidores la
información personal de las cuentas que se dan de baja, exponiéndola
a los intrusos.
Los criminales empiezan a aprovechar también la creciente
popularidad de los vídeos en la web. En MySpace ya se han visto
películas en Quicktime que descargan troyanos. El año pasado, un
investigador avisaba de los muchos agujeros en YouTube que
permitirían inyectar código malicioso en sus páginas, o vídeos que
infectarían con sólo mirarlos aunque, explica Corrons, "Youtube
elimina los vídeos sospechosos".
Pero a su vera crecen nuevas tretas, asegura el experto: "Estamos
observando el uso de vídeos legítimos de Youtube para hacer pasar
inadvertido un código malicioso. Imaginemos que recibidos un correo
basura de una chica que quiere conocer gente y, para poder verla,
tenemos que ejecutar un fichero. Cuando lo hacemos, nos
redireccionará a un vídeo legítimo de Youtube, para que no
sospechemos nada mientras se nos instala el código".
Además de infectar las páginas donde acude masivamente la gente, los
criminales usan otra estrategia: infectar de golpe miles de sitios
legítimos, asaltando el servidor que los aloja. Son los llamados
"hacks en masa" cuyo máximo exponente el año pasado fue la
herramienta MPack, que entre abril y mayo infectó casi 400.000 webs
y a más de un millón de personas.
El objetivo de los criminales de la Web 2.0 es, según Corrons,
"ampliar sus redes de "bots" y obtener claves de acceso a cuentas
bancarias. Normalmente instalan un troyano que irá descargando más
código malicioso al equipo según las necesidades de su creador". El
lucro está siempre presente: "A veces de forma directa, como los
troyanos bancarios. Otros pueden reunir información de hábitos de
uso de Internet".
La causa de este problema es "el aumento de la complejidad de las
aplicaciones web y la falta de concienciación y formación en
seguridad de sus programadores", asegura Chelo Malagón, del equipo
de seguridad IRIS-CERT. Corrons culpa también a los internautas: "En
la mayoría de casos, no tienen sus sistemas actualizados o son
engañados para que ejecuten ficheros maliciosos y dan demasiada
información en sus perfiles de las redes sociales".
PandaLabs
http://pandalabs.pandasecurity.com
Sophos. Security Threat Report 2008
http://www.sophos.com/sophos/docs/eng/marketing_material/sophos-security-report-08.pdf
The top 10 reasons Web sites get hacked
http://www.networkworld.com/news/2007/100407-web-site-vulnerabilities.html
MPack uncovered!
http://pandalabs.pandasecurity.com/archive/MPack-uncovered_2100_.aspx
Extraña infección masiva causa gran cantidad de tráfico
http://www.vsantivirus.com/15-01-08.htm
Mass SQL injection attack compromises 70,000 websites
http://www.scmagazineus.com/Mass-SQL-injection-attack-compromises-70000-websites-including-CAs/article/100497/
Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
No hay comentarios:
Publicar un comentario