24.9.12

Los riesgos de navegar “a pelo”

Originalmente publicado por Luis Enrique Corredera, en elreservado.es,  23 de junio de 2010

Los servidores Web son ordenadores que se encuentran conectados a Internet idealmente todos los días, a todas horas, y que interactúan con los navegadores Web haciendo uso del protocolo HTTP [1,2] y otros convencionalismos de comunicación, por ejemplo para la gestión de la sesión [3,4].

Los programas que usamos para “navegar” por Internet reciben el nombre de navegadores (web browsers en inglés), y los más comunes en la actualidad son Microsoft Internet Explorer [5], Mozilla Firefox [6], Opera [7], Apple Safari [8] y Google Chrome [9]. Estos navegadores interpretan el “lenguaje de marcado” con que se escriben las páginas Web (que recibe el nombre de código HTML, y cuya estandarización es labor del organismo World Wide Web Consortium [10]).

La navegación por páginas Web expone de forma continuada al navegador Web a contenidos digitales, típicamente compuestos por código HTML, que tras ser interpretado por el navegador, empieza la carga automática de otros contenidos como imágenes, vídeos, documentos (de Word, Pdf, etc.), animaciones digitales (Macromedia Flash), y otros contenidos dinámicos, como programas informáticos escritos en lenguajes de script (por ejemplo, Javascript) que dotan de una mayor interactividad a las páginas Web.

Riesgos y sus consecuencias nefastas

Para el usuario sin los adecuados conocimientos, estos contenidos son simplemente contenidos digitales, sin embargo para el usuario avanzado en informática y para el experto, cualquier tipo de los citados contenidos supone un riesgo que puede traer nefastas consecuencias en el sistema informático. Sin ánimo de ser exhaustivos citaremos algunos de los riesgos asociados a los contenidos digitales:

* Código Javascript: navegar por Internet sin una protección para el código Javascript, por páginas Web en las que los contenidos no son de confianza, puede terminar derivando en un control remoto del ordenador del usuario. Para ello hay incluso sistemas disponibles en Internet que permiten a un usuario con unos conocimientos moderados montar un ataque de este tipo. Pongamos el ejemplo del vídeo referido en [11]: un atacante incluye código javascript en una página Web para ejecutar el programa Beef [12] (que es una suite de control remoto a través de Web, que entre otras cosas, permite a un atacante remoto conocer las teclas que está pulsando el usuario), y combinándolo con Metasploit [13] (que es una herramienta de prueba de vulnerabilidades en ordenadores) consigue la completa dominación del ordenador de la persona que navega por Internet.
* Imágenes y vídeos: no es la primera vez que los sistemas operativos de los ordenadores tienen problemas para el tratamiento de gráficos. Tanto los ordenadores con sistema operativo Windows como los de Apple han tenido recientemente problemas en el tratamiento de determinados tipos de imágenes [14,15,16,17], y también en otros sistemas operativos como diferentes Linux [18].
* Documentos Word y PDF: el programa Microsoft Word y los programas de la suite Microsoft office ha tenido incidencias de seguridad que permitían la ejecución remota de código al abrir documentos especialmente preparados para explotar esta vulnerabilidad (por ejemplo [19,20,21]), y el programa Adobe Reader también ha tenido sus serios problemas de seguridad, por ejemplo [22,23] entre otros muchos incidentes. Mantener los programas actualizados minimiza el riesgo, pero existe un periodo de tiempo en el cual muchos problemas son conocidos y el fabricante aún no ha puesto remedio en los programas, por lo que se asume el riesgo de exposición a estos problemas.
* Vídeos: la visualización de vídeos no escapa a la problemática presentada en los anteriores puntos, existiendo también un importante historial de seguridad a este respecto, tanto para vídeos flash (flv) [24], como para los programas Windows Media Player [25] o VideoLan [26], entre otros muchos.
* Animaciones Flash: las animaciones Flash requieren que el ordenador del usuario tenga instalado el programa “Adobe Flash Player” (o algún sustitutivo) y éste programa tiene un intenso historial de seguridad, algunos de sus fallos permitiendo la denegación de servicios [27], ejecución remota de código arbitrario [28] o el descubrimiento de nombres de archivos en el ordenador del usuario [29], que combinados con otras vulnerabilidades [30,31] permitirían a un atacante acceder a una gran cantidad de información en el ordenador del usuario.

Los riesgos aquí descritos son producto de fallos en diversos elementos software, y este tipo de errores van apareciendo de forma periódica, a lo largo del tiempo, existiendo la mayoría de las veces una ventana temporal en el que el riesgo es efectivo, y si los sistemas informáticos no son actualizados con frecuencia, este tiempo es enorme.

Los ataques se centran en las redes sociales

El frecuente uso además de las redes sociales, y la gran masa de usuarios de las mismas han hecho a los profesionales de los ataques informáticos centrar su vista en este emergente tipo de páginas de Internet como Facebook o Tuenti, que últimamente están recibiendo una buena cantidad de ataques de diversa sofisticación [31,32,33,34,35,36,37], así como ataques de robo de contraseñas (Phising), que tienen un fuerte impacto debido a la costumbre del usuario medio de reutilizar el mismo usuario y clave en diferentes sitios Web, servicios y ordenadores.

En muchos casos estos problemas son usados para la inserción de troyanos bancarios, o troyanos que nos hacen miembros de redes de bots en los ordenadores. Aunque son muchos los peligros que nos acechan.

Tras esta reflexión y explicación de los riesgos que asumimos al navegar por Internet, si yo fuera tú, desconfiaría de los enlaces que veas en tu correo electrónico, o en Facebook, o en el Messenger… Igual que en Matrix, cualquier contenido digital podría llevar dentro un “agente Smith”.

Referencias para los riesgos asociados a la navegación por Internet:

1. RFC2616: Hyper Text Transfer Protocol 1.1. http://tools.ietf.org/html/rfc2616
2. RFC1945: Hyper Text Transfer Protocol 1.0. http://tools.ietf.org/html/rfc1945
3. RFC2109: Mecanismo HTTP para la gestión del estado.  (Obsoleto por el RFC 2965) http://tools.ietf.org/html/rfc2109
4. RFC2965: Mecanismo HTTP para la gestión del estado.  (Sustituye al RFC 2109) http://tools.ietf.org/html/rfc2965
5. Microsoft Internet Explorer: http://www.microsoft.com/spain/windows/internet-explorer/
6. Mozilla Firefox: http://www.firefox.com
7. Opera: http://www.opera.com
8. Apple Safari: http://www.apple.com/es/safari/
9. Google Chrome: http://www.google.com/chrome
10. World Wide Web Consortium: http://www.w3.org
11. Video: Hacking Web visitors With Beef and Metasploit: http://www.securitytube.net/Hacking-Web-Users-using-BeEF-and-Metasploit-video.aspx
12. Beef: http://www.bindshell.net/tools/beef/
13. Metasploit: http://www.metasploit.com/
14. Microsoft GDI Remote Code Execution (2008): http://www.iss.net/threats/290.html
15. Microsoft vulnerabilities in GDI could allow remote code execution (2007): http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
16. Microsoft Buffer Overrun in GDI could allow remote code execution (2004): http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx
17. LibTiff Buffer Overflow allows remote code execution in Mac: http://docs.info.apple.com/article.html?artnum=304063
18. LibTiff Buffer Overflow allows remote code execution: http://www.iss.net/security_center/reference/vuln/Image_TIFF_LibTiff_FetchShortPair_Overflow.htm
19. Microsoft: vulnerabilities in Microsoft Word could allow remote code execution (2008): http://www.microsoft.com/technet/security/bulletin/ms08-072.mspx
20. Microsoft Office remote code execution (2006): http://www.microsoft.com/technet/security/bulletin/ms06-012.mspx
21. Vulnerabilities in Microsoft Office could allow remote code execution (2010): http://www.microsoft.com/technet/security/bulletin/ms10-003.mspx
22. Security Update for Adobe Reader 8.1.2 fixes remote code execution (2008): http://www.adobe.com/support/security/bulletins/apsb08-15.html
23. Security Update for Adobe Reader 9.1.3 fixes remote code execution (2009): http://www.adobe.com/support/security/bulletins/apsb09-15.html
24. Remote code execution through FLV Video: http://www.mindedsecurity.com/MSA01110707.html
25. Una vulnerabilidad en Windows Media Player podría permitir ejecución remota de código: http://support.microsoft.com/kb/936782
26. VideoLAN VLC Media Player MP4 Demuxer Remote Code Execution Vulnerability: http://www.securityfocus.com/bid/28007
27. Adobe Flash Player Denial of Service: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0187
28. Adobe Flash Player remote code execution on unload Movie (2010): http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0379
29. Adobe Flash remote file names disclosure: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3951
30. Microsoft Internet Explorer 5.01 SP4, 6, 6 SP1, 7, and 8 does not prevent rendering of non-HTML local files as HTML documents, which allows remote attackers to bypass intended access restrictions and read arbitrary files via vectors involving JavaScript exploit code that constructs a reference to a file://127.0.0.1 URL, aka the dynamic OBJECT tag vulnerability, as demonstrated by obtaining the data from an index.dat file, a variant of CVE-2009-1140 and related to CVE-2008-1448: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0255
31. Microsoft Internet Explorer 5.01 SP4, 6, 6 SP1, 7, and 8 does not prevent rendering of non-HTML local files as HTML documents, which allows remote attackers to bypass intended access restrictions and read arbitrary files via vectors involving the product's use of text/html as the default content type for files that are encountered after a redirection, aka the URLMON sniffing vulnerability, a variant of CVE-2009-1140 and related to CVE-2008-1448: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0555
32. Gusano de Facebook LikeJacking: http://www.sophos.com/blogs/sophoslabs/?p=9783
33. Facebook Likejacking: http://www.crn.com/security/225300204
34. Gusano Viral en Facebook: http://www.csospain.es/El-gusano-viral-Like-infecta-cuentas-de-Facebook-mediante-cl/seccion-actualidad/noticia-95320
35. Auto-invitación en Facebook: http://www.sophos.com/blogs/sophoslabs/?p=9809
36. Ataque a Tuenti: http://www.tutuenti.es/ataque-hacker-a-la-red-social-tuenti/
37. Ataque de Phising a Tuenti: http://antivirus.es/tuenti-victima-de-un-ataque-de-phishing-424

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.