13/02/08 09:20:57
VIRUS Y FORAJIDOS CAMPAN A SUS ANCHAS EN LA WEB 2.0
Mercè Molist
La Web 2.0, con sus tecnologías dinámicas y bulliciosas
comunidades, ha convertido el antaño tranquilo territorio de la
web en un Salvaje Oeste. A medida que llegaban los colonos, lo
hacían también los criminales, instalando mil trampas
para cazar los ordenadores de los incautos. Caer en ellas es tan
sencillo como visitar un sitio con un navegador o sistema operativo que
tengan algún fallo de seguridad, no necesariamente conocido.
Según la empresa Sophos, cada día se descubren 6.000
nuevas páginas infectadas en la World Wide Web. Sus
propietarios, en el 83% de los casos, ni tan sólo lo saben.
Alguien ha aprovechado un agujero de seguridad para colarles un
código malicioso que infectará a sus visitantes: una
ventana emergente les pedirá si aceptan descargar un archivo
para visualizar mejor la página. Este archivo contendrá
el virus.
Y no será un virus cualquiera, sino un virus inteligente,
perteneciente a una nueva generación llamada Malware 2.0, capaz
de detectar el sistema operativo y navegador de su futura
víctima para instalarle el código malicioso adecuado. En
cada vez más ocasiones, ya no es necesario que el visitante
acepte descargar nada: el virus se introduce automáticamente en
su ordenador mediante un pequeño programa escondido en la
página visitada.
Cada día se conocen nuevos ataques de este tipo, especialmente
en las redes sociales. La más castigada es MySpace por una
sencilla razón que explica Luis Corrons, director técnico
de PandaLabs: "Los creadores de código malicioso intentan que la
distribución de su código afecte al mayor número
de usuarios y, cuanto más grande y activa sea una red social,
más fácil será".
Hasta hace unos años, el crimen más popular en la web
eran los "webdefacements": asaltos en los que se modificaba la portada
del sitio con un mensaje al estilo "Yo estuve aquí". Hoy, en vez
de mensajes se introducen programas maliciosos que infectarán a
los visitantes. Al principio estaban en sitios poco confiables y
había que mandar correo basura con enlaces para que la gente
acudiese a ellos. Ahora se infectan anuncios y sitios legítimos.
Las primeras redes sociales atacadas fueron Orkut y MySpace, en 2005.
Ambas tenían errores de "Cross Site Scripting"
(validación incorrecta del HTML), el mayor problema de seguridad
de la Web 2.0 junto con los controles JavaScript y ActiveX. Los
asaltantes introdujeron gusanos en perfiles de estas redes que, al ser
visitados por personas con navegadores vulnerables, infectaban sus
perfiles y estos, a otros. Hubo miles de infecciones en minutos.
Desde entonces las redes sociales han visto de todo: foros e
invitaciones de amistad que piden al visitante que descargue un
programa para poder visualizar una foto, una película, una
postal de aniversario. Actualizaciones de conocidos programas que en
realidad son virus. Programas anti-espías que en realidad
instalan espías. Y el viejo delito del robo de datos.
En enero, una persona anónima hacía públicas medio
millón de imágenes sacadas de perfiles supuestamente
privados de MySpace. No era la primera vez. Por las mismas fechas, el
periódico "The New York Times" denunciaba que Facebook no borra
de sus servidores la información personal de las cuentas que se
dan de baja, exponiéndola a los intrusos.
Los criminales empiezan a aprovechar también la creciente
popularidad de los vídeos en la web. En MySpace ya se han visto
películas en Quicktime que descargan troyanos. El año
pasado, un investigador avisaba de los muchos agujeros en YouTube que
permitirían inyectar código malicioso en sus
páginas, o vídeos que infectarían con sólo
mirarlos aunque, explica Corrons, "Youtube elimina los vídeos
sospechosos".
Pero a su vera crecen nuevas tretas, asegura el experto: "Estamos
observando el uso de vídeos legítimos de Youtube para
hacer pasar inadvertido un código malicioso. Imaginemos que
recibidos un correo basura de una chica que quiere conocer gente y,
para poder verla, tenemos que ejecutar un fichero. Cuando lo hacemos,
nos redireccionará a un vídeo legítimo de Youtube,
para que no sospechemos nada mientras se nos instala el código".
Además de infectar las páginas donde acude masivamente la
gente, los criminales usan otra estrategia: infectar de golpe miles de
sitios legítimos, asaltando el servidor que los aloja. Son los
llamados "hacks en masa" cuyo máximo exponente el año
pasado fue la herramienta MPack, que entre abril y mayo infectó
casi 400.000 webs y a más de un millón de personas.
El objetivo de los criminales de la Web 2.0 es, según Corrons,
"ampliar sus redes de "bots" y obtener claves de acceso a cuentas
bancarias. Normalmente instalan un troyano que irá descargando
más código malicioso al equipo según las
necesidades de su creador". El lucro está siempre presente: "A
veces de forma directa, como los troyanos bancarios. Otros pueden
reunir información de hábitos de uso de Internet".
La causa de este problema es "el aumento de la complejidad de las
aplicaciones web y la falta de concienciación y formación
en seguridad de sus programadores", asegura Chelo Malagón, del
equipo de seguridad IRIS-CERT. Corrons culpa también a los
internautas: "En la mayoría de casos, no tienen sus sistemas
actualizados o son engañados para que ejecuten ficheros
maliciosos y dan demasiada información en sus perfiles de las
redes sociales".
PandaLabs
http://pandalabs.pandasecurity.com
Sophos. Security Threat Report 2008
http://www.sophos.com/sophos/docs/eng/marketing_material/sophos-security-report-08.pdf
The top 10 reasons Web sites get hacked
http://www.networkworld.com/news/2007/100407-web-site-vulnerabilities.html
MPack uncovered!
http://pandalabs.pandasecurity.com/archive/MPack-uncovered_2100_.aspx
Extraña infección masiva causa gran cantidad de tráfico
http://www.vsantivirus.com/15-01-08.htm
Mass SQL injection attack compromises 70,000 websites
http://www.scmagazineus.com/Mass-SQL-injection-attack-compromises-70000-websites-including-CAs/article/100497/
Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provide this
notice is preserved.
<<