viernes, 14 de agosto de 2015

Como hackean nuestra web

Posted on 12:36by with No comments

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención o demostrar sus habilidades pero, hoy en día, es cuestión de dinero. Engañar a los usuarios desprevenidos a través de internet resulta fácil y efectivo.
Los cibercriminales disponen de técnicas sofisticadas, como las inyecciones de código JavaScript, para la difusión de malware a través de internet.

Funcionamiento del código Java Script malicioso: descargas automáticas o drive-by

El código JavaScript sirve para infectar sitios web porque es el lenguaje de programación que apuntala la red en la actualidad. Por lo general, suele instalarse en el lado cliente como parte de un navegador web para mejorar las funciones de interfaces de usuario y sitios web dinámicos. Hoy en día, dadas las funciones de la Web 2.0, navegar por internet sin compatibilidad con JavaScript es prácticamente imposible.
Los cibercriminales se aprovechan de esta situación infectando sitios web legítimos y populares, visitados por un gran número de usuarios, para desviar a las víctimas a páginas web maliciosas sin su conocimiento. Así empieza el proceso de infección: al visitar estos sitios maliciosos, nuevos scripts se encargan de aprovechar las vulnerabilidades del lado cliente.
El código JavaScript inyectado sirve para ocultar el desvío de forma más efectiva que otros métodos de ataque más sencillos, como los ataques de iframe. Los ataques con código JavaScript malicioso han aumentado de forma considerable en los últimos tres o cuatro años y, actualmente, casi todos los ataques incluyen este tipo de código, pero son más complejos.
Internet es el medio favorito de los cibercriminales para la difusión de malware y, cada pocos segundos, aparecen nuevos sitios web infectados. Mediante la inyección de código JavaScript malicioso en páginas web legítimas, pueden desviar los navegadores de las víctimas de forma imperceptible y cargar contenido y programas maliciosos desde un servidor remoto. Las infecciones de este tipo se denominan descargas automáticas o drive-by y presentan numerosos retos para la seguridad tanto de las empresas como de los usuarios.


¿Cómo se producen los ataques con JavaScript malicioso? 


• En primer lugar, los cibercriminales inyectan código en páginas web legítimas. El código inyectado puede ser un elemento HTML de iframe o una secuencia de comandos en línea, siendo estos últimos los más frecuentes en la actualidad.

• Cuando la víctima visita la página web comprometida, el código inyectado hace que el navegador descargue contenido malicioso de forma silenciosa desde otro sitio remoto. El proceso es imperceptible para la víctima.

• Normalmente, el contenido cargado está compuesto de varios componentes diseñados para aprovechar las vulnerabilidades del lado cliente. Por ejemplo, puede ser una mezcla de contenido HTML, JavaScript, Flash, PDF y Java. El paquete suele crearse y administrarse mediante un kit para el aprovechamiento de vulnerabilidades, conocido como paquete de exploits.

• Los criminales compran estos paquetes de exploits a los expertos que los crean con la intención de infectar a los usuarios con programas maliciosos.

El aspecto más importante del proceso es que las técnicas de ingeniería social ya no son necesarias. El usuario no necesita hacer clic en ningún enlace enviado por correo electrónico ni visitar páginas web peligrosas. Lo único que tiene que hacer es visitar una página web legítima comprometida.

Los usuarios que visitan un sitio secuestrado no tienen manera de saber que el sitio está comprometido porque el código malicioso es invisible y se ejecuta tan pronto como la página se carga en el navegador.

El código suele utilizar otras secuencias de comandos para buscar más componentes maliciosos que se encargarán de aprovechar las vulnerabilidades conocidas del navegador o del sistema operativo para infectarlo, robar datos o introducirlo en una red de bots.

El alcance de estos ataques no debe subestimarse, ya que están dirigidos a todo tipo de sitios, desde sitios del gobierno hasta instituciones educativas, conocidos portales de noticias, blogs y redes sociales.

Dado que los proveedores de seguridad ofrecen soluciones para la detección de este tipo de código malicioso, los atacantes lo modifican constantemente para evitar que los atrapen. Los cibercriminales utilizan el código JavaScript como "pegamento" en este tipo de ataques web por las posibilidades que ofrece para ocultar o camuflar el código y la carga


Cómo afectan estos ataques a las empresas

El código JavaScript malicioso puede afectar a las empresas de varias formas. Los responsables informáticos deben mantenerse alerta y protegerse contra este tipo de ataques para evitar, sobre todo, que: 

• Los usuarios se conviertan en víctimas del malware: los equipos administrados pueden infectarse a través de descargas automáticas, resultados contaminados de búsquedas y otros tipos de ataques.

• El sitio web de la empresa se vea comprometido: los cibercriminales pueden comprometer los sitios web administrados y, como resultado, los clientes que los visiten se verán expuestos al código malicioso. 

Ambas situaciones provocan grandes repercusiones en la empresa, tanto en lo relativo a los costes, como a la productividad, la reputación de la compañía o la seguridad de los datos. Cuando los usuarios son víctimas del malware, el departamento informático debe invertir tiempo y dinero en restablecer el rendimiento de los equipos. Además, la productividad de los usuarios se resiente y pueden dañarse muchos archivos. 

Pero las repercusiones de las infecciones van más allá: la integridad de los datos también puede verse en peligro. Una vez que se ejecutan en los equipos de las víctimas, muchas familias de programas maliciosos permiten que los cibercriminales accedan de forma remota a los sistemas para robar datos o infectarlos con otros tipos de malware. 

Cuando la víctima es el sitio web de la empresa, los clientes no culpan a los cibercriminales de las infecciones resultantes, sino a la propia empresa, lo que puede afectar a la reputación corporativa, generar publicidad negativa y provocar la pérdida de confianza por parte de clientes, socios e inversores. 

Estas son las razones por las que "los malos" utilizan JavaScript malicioso y por las que "los buenos" deben protegerse.

Fuentes 

http://www.sophos.com/security/technical-papers/modern_web_attacks.html
http://www.sophos.com/security/technical-papers/malware_with_your_mocha.html
http://www.sophos.com/security/technical-papers/sophos-securing-websites.html
http://nakedsecurity.sophos.com/?s=malicious+javascript&x=0&y=0

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)