[HACK] in-seguridad en la web

[merce]

12/09/06 10:28:24



LA CRIMINALIDAD INFORMÁTICA SE TRASLADA A LA WEB


Mercè Molist
El correo electrónico está perdiendo fuelle como medio de
transmisión de virus y robo de información personal. Los criminales
lo siguen usando, pero mezclan cada vez más técnicas y apuestan
fuerte por la web. Primero fueron las páginas fraudulentas del
"phishing" y, ahora, el aumento sin precedentes de infecciones por
virus al visitar un sitio web.


Bernardo Quintero, responsable del servicio VirusTotal de Hispasec,
no podía dar crédito cuando, al visitar su tira cómica favorita,
Dilbert, un virus intentó colarse en su ordenador: "Una ventana
emergente me informó de que había errores en mi sistema y me
recomendó que instalase el programa gratuito WinFixer". Quintero
pinchó el botón "Cancelar" sin éxito: "Se abrió otra ventana que
intentó instalarlo. Me negué, pero insistió".

El experto consiguió zafarse y comprobó después que era un virus de
los llamados "adware" (virus publicitarios). Si hubiese entrado en
su ordenador, le habría mostrado continuamente ventanas emergentes,
avisando sobre errores inexistentes, hasta que hubiese comprado el
famoso WinFixer, por 39,95 dólares.

El virus no procedía del sitio web de Dilbert sinó del anuncio que
aparecía en la página, suministrado por una agencia de publicidad
dinámica. Semanas después, un anuncio parecido en MySpace infectaba
a más de un millón de usuarios. En esta ocasión, no había forma de
negarse, pues el virus aprovechaba un fallo del navegador Internet
Explorer para entrar sin preguntar.

No son los primeros casos de virus en anuncios, aunque nunca se
habían visto en webs tan populares. El primero apareció en 2001, en
el sitio de seguridad Securityfocus, pero la invasión empezó en
2003, con el troyano Qhost, que viajaba en un "banner" de
Fortunecity, y en 2004, con diversos troyanos que robaban datos
bancarios.

"El problema es que no hay suficiente control por parte de las
agencias de publicidad. Por ejemplo, uno de los servicios de
publicidad más difundido de Internet, AdSense de Google, lo puede
contratar cualquiera", critica Quintero.

Álvaro Andoin, director de la agencia de publicidad Media Contacts
en Bilbao, explica: "Normalmente, somos nosotros y no el sitio
quienes servimos los "banners": recibimos la creatividad del
cliente, la aprobamos y la subimos a nuestro servidor en
DoubleClick. Cuando descargas una página de esta web, su servidor de
publicidad llama a nuestra creatividad alojada en DoubleClick. Pero
si un sitio web permite que esto lo haga un tercero de dudosa
reputación, pasa lo que pasa".

La publicidad no es el único peligro de la web. Se usan otras
técnicas para introducir código malicioso en sitios web de
confianza, por ejemplo asaltarlos. Así sucedía la semana pasada con
el sitio de Samsung Electronics en Estados Unidos, que amaneció con
un troyano que infectaba a los visitantes y les robaba los códigos
de acceso a sus cuentas bancarias.

En junio, un mensaje en un foro de la comunidad Orkut contenía un
enlace que, si se pinchaba, descargaba un troyano parecido. Por las
mismas fechas, los usuarios del correo por web Yahoo! recibían
peligrosas cartas electrónicas: no era preciso pinchar ningún
adjunto, abrir el mensaje era suficiente para infectarse.

Estos virus que se ceban en sitios populares son el colofón de una
evolución que empezó con el primer gusano para la web, "Jer",
descubierto en el año 2000, explica Quintero: "Estaba hospedado en
una página gratuita de Geocities, con el título "Las 40 formas de
llevarte a las mujeres a la cama". Su autor publicitó la página en
el chat y tuvo éxito de audiencia e infectados".

Hoy sigue funcionando incitar, por chat, mensajería o correo, a que
se visite una web, pero destacan otras tácticas, como posicionar una
página fraudulenta en los primeros puestos de un buscador,
relacionándola con un término popular. Según un estudio de McAfee,
búsquedas como "kazaa", "free games" o "weight loss" dan hasta un
72% de resultados maliciosos y los enlaces patrocinados contienen
del 200 al 400% más de sitios con contenido peligroso que los normales.

Los navegadores juegan un papel crucial en este nuevo escenario,
señala Quintero: "Es preciso tenerlos siempre actualizados. La
explotación de sus vulnerabilidades puede permitir, en el caso del
navegador más utilizado, Internet Explorer, la infección automática
con sólo visualizar una página".

Sami Jourdain, director de marketing de la compañía especialista en
seguridad web, Deny All, achaca el problema a "las aplicaciones web
interactivas, que marcaron el inicio de esta inseguridad en 1997, al
abrir la posibilidad de que los usuarios interactuasen con ellas y
permitirles así manipular las peticiones HTTP".

Estas aplicaciones web, según Jourdain, son cada vez más complejas
y, por tanto, vulnerables: "Los ataques a través de HTTP y HTTPS,
para acceder a datos no autorizados o robar la identidad del
usuario, van en aumento, con crecimientos del 90% respecto al año
pasado".

Como muestra, la sofisticación a que ha llegado el "phishing", que
consiste en engañar al usuario para que visite una página y escriba
sus datos bancarios. En los primeros ataques, estas páginas eran
copias de las del banco. Hoy, como se ha visto con Paypal, Suntrust,
Visa o Mastercard, mandan a las víctimas al sitio auténtico, donde
los criminales han explotado un fallo para robar la información.

Jourdain atribuye esta situación a la falta de educación de los
usuarios y al hecho de que "todos queremos mayor conectividad y
funcionalidades, las empresas implantan cada vez más servicios web,
pero para usar todo esto nos valemos del protocolo HTTP, que no es
seguro. Además, tecnologías como ActiveX o Javascript implican cada
vez menos seguridad, ya que ayudan a los criminales a saltarse los
controles y ejecutar programas en nuestros PCs, sin que lo sepamos".



Dilbert intenta infectarme
http://blog.hispasec.com/laboratorio/43
¿Confiar en sitios confiables?
http://www.vsantivirus.com/eb-11-09-06.htm
Los motores de búsqueda como medio de difusión de contenidos
fraudulentos
http://www.hispasec.com/unaaldia/2775
The Safety of Internet Search Engines
http://www.siteadvisor.com/studies/search_safety_may2006.html#keywordsc
Páginas "de confianza" como fuente de troyanos
http://www.hispasec.com/unaaldia/2829
Web Services Increasingly Under Attack
http://www.quote.com/home/news/story.asp?story=59357772
Deny All
http://www.denyall.com


Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.