Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/09/2013
Ocultant programari maliciós en els anuncis en línia per a llançar ciberatacs
Les xarxes d’anuncis en línia es podrien estar usant per a enrolar milions d’usuaris inconscients per a dur a terme atacs a altres llocs web. segons una demostració duta a terme este mes en la Conferència de seguretat Black Hat realitzada a Las Vegas.
Els investigadors Jeremiah Grossman i Matt Johansen de White Hat Security van escenificar un atac a un servidor Web de prova simplement pagant dos xarxes d’anuncis en línia perquè mostraren anuncis traïdorencs en pàgines visitades per centenars de milers de persones. Els anuncis incloïen un senzill codi en JavaScript que fa que el navegador que carrega l’anunci també accedisca nombroses vegades a una imatge en el servidor de prova.
El servidor de prova víctima de la demostració no va tardar molt a tindre problemes a causa de la sobrecàrrega sobrevinguda. Durant la primera hora de la prova, en la qual només es van gastar 2 dòlars (un euro i mig aproximadament) en anuncis, més de 130.000 connexions de navegadors van inundar el servidor, que no va tardar molt més a despenjar-se davall la càrrega creixent de visites.
JavaScript és un llenguatge de programació comuna que s’usa en llocs web i anuncis per a tot, des de crear característiques interactives, fins per a fer un seguiment de quan la gent descarrega o interactua amb una pàgina. Encara que algunes xarxes d’anuncis no permeten que s’inserisca JavaScript en els anuncis, moltes altres sí que ho permeten perquè és un llenguatge d’ús molt freqüent. Les xarxes que sí que permeten JavaScript no l'inspeccionen massa de prop, explica Johansen, i en qualsevol cas seria improbable que notaren quelcom sospitós en el seu codi.
"No pirategem ningú; aprofitem el funcionament normal de la Web per a atacar el nostre propi servidor", va explicar Johansen. "Simplement ens dediquem a descarregar imatges tan ràpid com siga possible".
El servidor de prova no estava protegit per les ferramentes especialitzades que usen alguns llocs per a defendre’s dels denominats atacs de negació de servici. No obstant això, Johansen sosté que el baix cost d’este tipus d’atacs i l’abast de les xarxes en línia suggerix que seria fàcil escalar-lo. "No costa tants diners fer mal de veritat a llocs reals en Internet".
Johansen i Grossman treballen ara en una demostració més audaç: usar el mateix enfocament per a emprar-lo com a mà d’obra per a desxifrar contrasenyes encriptades com les que se solen robar de servicis en línia en atacs com el que va patir LinkedIn a principis d’enguany. El codi JavaScript es pot usar per a treballar sobre contrasenyes, i Johansen afirma que seria fàcil introduir eixe codi en un anunci i aconseguir que els usuaris web dugueren a terme el treball necessari sense ser conscients d’això.
Podeu ampliar esta notícia en l’enllaç següent.