Los métodos de propagación de virus, troyanos y malware han ido modificándose según avanzaban las tecnologías, desde los virus que se propagaban por los disquetes al método más en auge hoy en día, basado en la infección a través de páginas web. A tal punto ha llegado la explotación de las páginas web para la infección de malware, ejecución de código remoto, etc., que uno de los kit de infección más de moda es el famoso MPack http://en.wikipedia.org/wiki/MPack_(software).El método se basa en infectar sitios web legítimos y utilizarlos como pasarela para la distribución de malware. Los métodos normales por los que se infectan los sitios web suelen venir dados por vulnerabilidades en la propias aplicaciones (Cross Site Scripting, Remote File Inclusion, etc.) o por vulnerabilidades en los servicios que se ejecutan de cara a internet, pero el objetivo es el mismo ya se siga uno u otro camino, la ejecución de código en el cliente que visualiza una página web.
La manera de protegerse de este tipo de ataques no es trivial, puesto que pueden venir dados por ejecución de javascript, applet de java, Active X … y eso sin contar con las vulnerabilidades del propio navegador web o de plugins como el de Adobe Acrobat Reader. Los métodos normales de protección en el entorno doméstico suelen basarse en la desactivación por defecto de JavaScript en el navegador web y activarlo en los sitios de confianza en los que se requiera, pero aunque este método si erradica la ejecución de malware en un porcentaje importante no lo erradica totalmente. En los entornos empresariales son cada vez más demandados los productos que se centran en la detección y eliminación de malware en la web, de hecho unos de dichos fabricantes ha desarrollado un plugin para Internet Explorer y para Firefox (http://securebrowsing.finjan.com ) que detecta las páginas web con malware en las búsquedas sobre los buscadores más difundidos, lo que nos permite identificar una web infectada o normalmente utilizada para la propagación de malware antes de abrirla, y en consecuencia, ejecutar el código en nuestro equipo.
La ejecución de código en el navegador web no debe tratarse a la ligera, y la falsa sensación de seguridad que nos puede brindar tener instalado un antivirus o un producto como Patriot, puesto que hay comportamientos que no son detectados por los antivirus, como puede ser el robo de sesiones de los sitios web a los que accedemos, robo del historial de navegación, el escaneo de red de nuestra red interna mediante JavaScript y el reporte inmediato al atacante con los resultados ¡¡¡y todo desde el propio navegador web!!! , sin que el usuario ni el antivirus detecten nada anómalo.
Básicamente la protección frente al malware difundido mediante web debe basarse en dos pilares básicos:
- Protección de los sitios web frente a infecciones
- Navegación de los usuarios por sitios fiables
Respecto a la protección de los sitios web, son muchos los sitios desarrollados por programadores que no han tenido en cuenta la seguridad en el desarrollo, normalmente por inexperiencia o por falta de conocimientos. Éste es uno de los mayores problemas de la web actual, ya que los desarrolladores de malware disponen cada vez de una mayor especialización y les resulta extremadamente fácil infectar sitios web.
En cuanto a la navegación por sitios fiables, aunque esto es una práctica altamente recomendada, es necesario tomar medidas preventivas como las comentadas anteriormente: desactivación de javascript, plugin finjan y utilizar credenciales de usuario sin permisos en el sistema operativo.
Francisco Ruiz
www.audea.com