Compártelo2012 Press Releases
HTML5: el bueno, el malo y el feo
Este post es el tercero y último de la serie de 3 entregas que hemos realizado sobre HTML5. Puede acceder a las dos últimas entradas: HTML5-El Bueno , y HTML5-El Malo .
Bienvenido al último capítulo de nuestra miniserie sobre HTML5 y los problemas de seguridad que le rodean. Desde aquí, vamos a echar un vistazo a lo que, en mi opinión, es el más temible problema de seguridad que HTML5 plantea: BITB (Botnets In The Browser).
Con HTML5, el atacante ahora puede crear un botnet o red zombi que se ejecutará en cualquier sistema operativo, en cualquier lugar y en cualquier dispositivo. Al estar en gran medida basado en la memoria, que apenas toca el disco, se hace más difícil su detección con los antivirus tradicionales basados en archivos. El código JavaScript es muy fácil de confundir, por lo que la firma IDS de red también se encuentra con problemas . Finalmente, al estar basado en web, será muy fácil que pase por la mayoría de firewalls.
A continuación se muestra un extracto del trabajo que recientemente hemos publicado sobre los Ataques HTML5:
Etapas de un Ataque Botnet Basado en el Navegador
1. Infección : la infección del sistema de un usuario se realiza convenciéndole para ejecutar el código JavaScript inicial. Hay una larga lista de maneras para lograr esto, entre las que se incluyen XSS, hacer click en un link en un email o mensaje instantáneo, técnicas de Blackhat SEO (Optimización del Motor de Búsqueda), ingeniería social, comprometiendo un sitio web y otros muchos.
2. Persitencia : un botnet basado en el navegador por su propia naturaleza no será tan persistente como un botnet tradicional. Tan pronto como la víctima cierra la pestaña del navegador, se detendrá la ejecución del código malicioso. Un atacante deberá considerar esto, ya que las tareas encomendadas a botnets basados en el navegador podrían ser diseñadas para tener en cuenta la naturaleza transitoria de los nodos botnet. La capacidad para reinfectar fácilmente los sistemas es importante, por lo que los vectores de ataque tales como el uso persistente de XSS y la técnica de comprometer sitios son los más factibles. Otro enfoque es combinar clickjacking y tabnabbing. El clickjacking es utilizado primero para forzar a la víctima a abrir otra página web con el mismo contenido que la página original. Mientras la víctima navega por el contenido que espera ver, esa pestaña con contenido malicioso se ejecuta en un segundo plano. Para alargar aún más la vida de esta etiqueta maliciosa, el atacante puede utilizar el tabnabbing - señalar la etiqueta original y la página como una página abierta frecuentemente tal y como si se tratara de Google o YouTube . Quizás, una forma más sencilla aún de persistencia es ofrecer la página maliciosa como un juego interactivo. Lo ideal sería que el juego estuviese diseñado para que el usuario lo mantenga abierto todo el día, puesto que de vez en cuando volverá a él para completar alguna tarea nueva.
3. Payload o Carga útil : este ataque puede dar lugar a las siguiente posibilidades:
1.- Ataques DDos: el desarrollador web puede utilizar Cross Origin Requests para enviar miles de solicitudes GET a una página de destino, provocando una Denegación de Servicio.
2.- Spamming: utilizando formularios web mal configurados en la página de Contacte con Nosotros, se puede usar un bot para generar spam.
3.- Generación de Bitcoin: actualmente, los Bitcoins son la nueva moneda elegida por los ciberdelincuentes. A día de hoy ya existen varios generadores de Bitcoin basados en el navegador.
4.- Phishing: utilizando el enfoque del tabnabbing, un atacante puede cambiar la apariencia de la pestaña maliciosa cada vez que ésta pierde su foco. Como resultado, cada vez que una víctima regresa a la pestaña, se encontrará con un login para un servicio diferente, permitiendo al delincuente robar sus credenciales.
5.- Reconocimiento de red interno: Empleando las técnicas descritas en este documento, la persona que realiza un ataque puede llevar a cabo un escaneo de vulnerabilidades o de puertos de la red de la víctima.
6.- Uso de la red proxy: utilizando el mismo enfoque que la herramienta Shell of the Future, una red de sistemas comprometidos puede permitir a un atacante los ataques proxy y conexiones de red, lo que dificulta más su rastreo.
7.- Propagación: El botnet puede ser programado para tener un componente de gusano que se propaga a través de ataques XSS, o inyecciones de código SQL en sitios vulnerables.
Personalmente, considero que esto supone una nueva capacidad importante en el arsenal de un atacante y, sin duda, es algo que vamos a ver crecer en un futuro no muy lejano –especialmente en el área de ataques dirigidos. Mientras las defensas tradicionales contra el malware no son ideales para bloquear este nuevo vector de ataque- hay dos herramientas gratuitas que pueden ofrecer una muy buena protección:
1.- NoScript: El plugin para el navegador NoScript es ya bien conocido en los círculos de seguridad. Esta excelente herramienta restringe JavaScript y otros plugins en los sitios de confianza.
2. BrowserGuard : La herramienta BrowserGuard de Trend Micro incluye una amplia gama de funciones para bloquear ataques basados en Web , incluyendo tecnologías de heurística avanzada .
El documento "Visión general de HTML5: un vistazo por los escenarios de ataque en HTML5 ”, ya se encuentra disponible para su descarga online .
Acerca de Trend Micro:
Trend Micro Incorporated, líder global en seguridad cloud, crea un mundo seguro para el intercambio de información digital con sus soluciones de gestión de amenazas y seguridad de contenidos en Internet para entornos corporativos y de consumo. Compañía pionera en seguridad del servidor, Trend Micro cuenta con más de 20 años de experiencia en el mercado y ofrece al cliente seguridad basada en cloud y servidor adecuada a las necesidades tanto del cliente como de los partners, detención más rápida de nuevas amenazas, y protección de datos en entornos físicos, virtualizados y cloud. Impulsado por la infraestructura de seguridad cloud Trend Micro™ Smart Protection Network™, la tecnología cloud computing líder de la industria, los productos y servicios de Trend Micro detienen las amenazas que surgen, a través de Internet, y están apoyados por más de 1.000 expertos en inteligencia de amenazas en todo el mundo. Más información en: http://es.trendmicro.com .
Si desea información adicional sobre Trend Micro Incorporated, así como sobre los productos y servicios disponibles, puede consular TrendMicro.com . Este comunicado de prensa de Trend Micro y otros lanzamientos están disponibles en la siguiente dirección http://trendmicro.mediaroom.com/ y como parte del canal RSS en www.trendmicro.com/rss . Siga nuestras noticias a través de Twitter en @TrendMicro.
Para más información
GRAYLING SPAIN
Marta Correas / Natividad de Mateo
Tel.: (+34) 91 522 10 08
TREND MICRO ESPAÑA
José Miguel Rufo
Tel.: (+34) 91 369 70 30
