8.3.12

Secuestro de clics en Facebook

benleto
10 años de Iloveyou
Originalmente publicado por Por Luis Enrique Corredera en elreservado.es, 11 de junio de 2010

No es ningún secreto que una gran mayoría de los usuarios no son conscientes de los riesgos asociados a la navegación en Internet. El uso social de Internet por un gran número de personas (Facebook ha declarado ya 400 millones de usuarios) ha provocado un perverso efecto dominó sobre las relaciones de confianza representado por una sucesión en cadena de una aporética relación de confianza: "si Paco ha metido ahí sus datos, y las fotos de los chiquillos, yo también puedo. Y Paco es buena gente, me puedo fiar de él". No juzgaremos si los "Pacos" del ejemplo son gente de fiar, pero confiar en el uso de una Web, y facilitarle los datos sin pensarlo, por el simple hecho de que otros lo hagan, puede tener un efecto muy nocivo.

Las redes sociales se comportan como arquillos para pescar cangrejos, usando a nuestros amigos y conocidos como cebo para atraernos, hacernos entrar y ver que luego no podemos salir. El exhibicionismo de los usuarios y "la confianza en Paco" han permitido a las redes sociales recopilar una gran cantidad de información, gustos, hábitos y aficiones que permiten segmentar el objetivo de la publicidad de forma muy eficiente. Los gustos los expresamos mediante los botones "me gusta" en las contribuciones de conocidos, o gracias a las nuevas funciones de Facebook, en cualquier página web que se haya subido al carro de lo social. De esta forma compartimos aficiones con los ciberamigos de Facebook, y expresamos que nos gusta lo que le gusta a otros usuarios que conocemos (o que son conocidos de los que conocemos). Apretar el botón "me gusta" se ha convertido ya en un hábito, y consultar lo que "le gusta" a los más allegados forma parte de la agenda diaria ya de muchos (¡eh!, no mires para otro lado, que te estoy viendo). Y es que cuando un sitio Web aglutina 400 millones de usuarios, es fácil convertirse en un objetivo claro para ataques como los ya conocidos spam (correo basura, no deseado), phising (para el robo de  usuarios y claves), y la aparición de otros ataques tal vez no tan conocidos.

El ingenio de Mitnick


En el mundo de la seguridad informática hay diferentes tipos de ataques y amenazas y, si bien me confieso admirador de la elegancia de los ataques y riesgos que aprovechan sutiles debilidades en los protocolos (como las que nos dejó el “verano negro de 2008” [1] y [2]), no puedo negar el ingenio de los ataques sociales que popularizó Kevin Mitnick [3], y que se han ido adaptando en el paso del tiempo a los nuevos hábitos de las personas.

En la primera semana de junio de 2010 hemos asistido a la “puesta de largo” de un nuevo tipo de ataque denominado “LikeJacking” [4,5], y que ha usado Facebook como campo de prueba de su efectividad. El ataque original consiste en la existencia de una página con un atractivo título para los usuarios que incita a visitarlo (además de que “Paco” ha dicho que le gusta): “Un tipo que se saca una foto todos los días durante 8 años” (aunque ahora ya hay variantes con el Mundial de fútbol, Shrek, y otros temas relacionados con famosos como Justin Bievers o el grupo Paramore). Si el usuario sigue el enlace, se le muestra una página que solicita pinchar con el ratón en algún enlace para acceder al contenido (por ejemplo, declarando que es mayor de edad). En este mismo momento y sin que el usuario lo sepa, queda publicado en su perfil que “te gusta” la página que has visitado, como por arte de magia. ¿Magia? ¿Cómo lo han hecho?

De forma simple diremos que la página Web tenía un botón invisible me gusta” de Facebook programado para colocarse justo debajo del ratón en todo momento, manteniéndose invisible (para los puristas de la seguridad, concretamente es un botón en un IFrame que se sitúa debajo del ratón de forma dinámica). ¿Qué ocurre entonces cuando pinchas el enlace declarando que eres mayor de edad, y que quieres ver esas fotos? Pues que pinchas el botón invisible “me gusta”, y con ello de forma implícita invitas a todos tus amigos de Facebook a que visiten la página Web “malvada”. Al más puro estilo romántico de algunos primeros virus de los años 80, el único objetivo de este primer ataque de LikeJacking ha sido demostrar la propagación del problema, sin ningún efecto nocivo, aunque con total seguridad que no tardaremos [6] en ver este tipo de propagación aplicado a troyanos Web y otro tipo de malware y riesgos a los que estamos expuestos al navegar por Internet, así como nuevas formas de propagarse a través de redes sociales [7].

El gusano de Morris


Para los “viejos del lugar” de la seguridad informática este tipo de ataque es una obvia evolución del gusano de Morris [8], aprovechando los vectores de ataque en aplicaciones Web como las peticiones CSRF [9], la técnica de secuestro de clics “ClickJacking” [10] y apoyándose en los mensajes atractivos de la ingeniería social como ya hiciera el virus LoveLetter [11]. Pero no quiero asustaros con todo este alud de tecnicismos, así que vamos por partes.

El gusano de Morris fue el primero de Internet. Un gusano es un tipo de virus (hoy llamados malware) que tiene como objetivo propagarse a sí mismo. Su puesta en marcha en el año 1988 consiguió la infección del 10% de los ordenadores de Internet. Sin duda un clásico para recordar.

Las peticiones CSRF (peticiones de sitio cruzado, en nuestro idioma) son un tipo de ataque que se conoce desde principios de los 90, que fuerzan a un usuario a realizar acciones en páginas Web sin que él lo sepa ¿cómo? Pues incluyendo una imagen en una página Web que realmente no contenga una imagen, sino un enlace a una operación que el atacante quiere que el usuario ejecute. (Si eres un purista de la seguridad, pasa al siguiente párrafo, por favor). Por ejemplo, si en una página Web incluyo una imagen cuya dirección sea " ", en el momento en que un usuario cargue la página Web que tiene la imagen, si tiene abierta una sesión de Hotmail, automáticamente borrará el segundo mensaje que tengas en el buzón. Este ejemplo no funcionará con Hotmail, pero hay muchos productos de correo Web que funcionan de esta forma y son sensibles a estos ataques.

El ClickJacking es uno de los riesgos más peligrosos a los que nos exponemos con la navegación Web al que deberíamos un monográfico, y que literalmente “secuestra los clics" de los usuarios. (Amigo purista, visita esta presentación de la BlackHat [12], a cargo de nuestros ya conocidos Jeff Moss y Jeremiah Grossman [11]).

Y el gancho, lo que pica la curiosidad del usuario es un mensaje atractivo, como nos enseñó el virus LoveLetter, que allá por el año 2000 nos enviaba correos electrónicos con asunto “I love you”, y que superó los 50 millones de infecciones en 8 días. ¿Quién podía resistirse a un correo tan sugerente?

No cabe duda de que las redes sociales han cambiado la forma de vida de los usuarios, empresas y, por supuesto, la delincuencia informática. Me alegra deciros que quienes hayáis seguido los consejos que os dimos en El Reservado en mis artículos anteriores y hayáis navegado con Firefox [13 ] y NoScript [14] habréis sido inmunes a este ataque y sus derivados, mientras que los usuarios de Internet Explorer y Chrome siguen expuestos a los riesgos del ClickJacking. Como dicen los anuncios, no podemos navegar por ti, pero en El Reservado nos comprometemos a enseñarte cómo puedes ir haciéndolo de forma segura, y lo seguiremos intentando artículo tras artículo. Si has confiado en “Paco” y sus enlaces, dale una oportunidad a nuestros buenos consejos ;-)

1. Vulnerabilidad DNS de Dan Kaminsky: http://securosis.com/blog/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-r
2. Vulnerabilidad BGP de Anton Kapela y Alex Pilosov: http://www.wired.com/threatlevel/2008/08/revealed-the-in/
3. Kevin Mitnick: http://es.wikipedia.org/wiki/Kevin_Mitnick
4. Gusano de Facebook LikeJacking: http://www.sophos.com/blogs/sophoslabs/?p=9783
5. Facebook Likejacking: http://www.crn.com/security/225300204
6. Gusano Viral en Facebook: http://www.csospain.es/El-gusano-viral-Like-infecta-cuentas-de-Facebook-mediante-cl/seccion-actualidad/noticia-95320
7. Auto-invitación en Facebook: http://www.sophos.com/blogs/sophoslabs/?p=9809
8. El primer gusano de Internet: http://es.wikipedia.org/wiki/Gusano_Morris
9. Ataques de tipo CSRF: http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery
10. Virus Loveletter: http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/I-love-you
11. Jereimah Grossman: http://jeremiahgrossman.blogspot.com/
12. BlackHat Webminars Clickjacking: http://www.blackhat.com/html/webinars/clickjacking.html
13. Firefox: http://www.mozilla-europe.org/es/firefox/
14. Noscript: http://noscript.net/

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.