Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/07/2011
Google t'informarà si el teu equip està infectat
Google alertarà des de la seua pàgina de resultats de la possible infecció de l'equip que està sent víctima d'un segrest del buscador. Google alertarà des de la seua pàgina de resultats de la possible infecció de l'equip que està sent víctima d'un segrest del buscador.
L'enginyer de Google, Matt Cutts, ha anunciat que Google acaba d'activar una funcionalitat que s'encarrega d'alertar als usuaris del buscador de la possible presència de programari malintencionat en el seu equip. Hi ha codi maliciós que s'encarrega de redirigir les recerques a Google a través d'un servidor intermediari (proxy) que controlen els atacants. Així, modifiquen el resultat de les seues recerques. Totes les pàgines trobades solen pertànyer a atacants amb diferents motivacions: codi maliciós, joc online, etc. Google intenta ajudar aquests usuaris.
Quan en els sistemes infectats es realitza una recerca, si Google detecta que han arribat a la seua pàgina a través d'un d'aqueixos servidors intermedis, alertarà l'usuari amb un missatge: "El teu sistema pareix estar infectat amb programari que intercepta la connexió a Google i altres buscadors. Aprén com solucionar-ho". Junt amb un enllaç que porta a unes simples instruccions sobre com intentar netejar el codi maliciós del sistema.
Lògicament, no es tracta, ni de bon tros, d'un servei antivirus online que detecte qualsevol virus present en l'ordinador. Google, simplement, adverteix que li ha arribat una petició "estranya" des d'aqueix sistema. Google probablement detectarà certes característiques de les capçaleres HTTP que li arriben d'aqueixos servidors intermediaris coneguts i en funció d'alguns paràmetres, tornarà aqueix missatge a l'usuari.
Aquest és un bon gest per part de Google per a intentar alertar els usuaris. Unit a la seua política d'advertir a través d'un missatge i un bloqueig previ de pàgines que considera perilloses, eleva la seguretat global en la xarxa. No obstant això, els punts dèbils d'aquesta política, pareixen ser dos:
- Els servidors intermediariss dels atacants poden modificar el seu comportament en qualsevol moment per a deixar de ser detectats per Google. Si són detectats per capçaleres HTTP, només han de modificar-les. Si són detectats per IP, només han de canviar de servidor... per tant, serà un sistema que, perquè siga útil, haurà d'estar en constant actualització o potser arribe un moment en què simplement siga indetectable per part de Google.
- Molt codi maliciós i "scareware" envia a l'usuari missatges falsos d'aqueix tipus: "El teu ordinador està infectat! Has de netejar-lo ara! Necessites aquest programa per a aconseguir-ho!". Una regla bàsica de seguretat és ignorar aquest tipus de consells, que només porten a la infecció. El fet que Google cas un missatge semblant però legítim pot confondre l'usuari. Així que el to empleat per Google ha de ser cuidadós i diferenciar-se del dels atacants (molt més urgent). Fins i tot, pot suposar un problema major: els atacants podran simplement clonar a partir d'ara la pàgina amb el missatge de Google i aprofitar la confiança de l'usuari en la marca.
En tot cas, és un bon moviment per part de Google. Qualsevol iniciativa té sempre els seus possibles desavantatges, però si açò impedira el seu desenrotllament, mai no es prendrien mesures positives contra el codi maliciós.