En los primeros meses de 2009, los investigadores de seguridad comenzaron a ver señales de una nueva pieza de malware que era un poco desconcertante para ellos. No se comportaba como otros troyanos o rootkits, y no intentaba enterrarse en un equipo infectado y hacer cosas desagradables como borrar las claves de registro o copiar el contenido del disco duro. En su lugar, este malware, que llegó a ser llamado Gumblar, robaba las credenciales de sitios web y comprometía tantos sitios legítimos como le era posible, creando algo totalmente nuevo: una red de servidores web de robots infectados que revelaron el terrible estado de las aplicaciones de seguridad Web y se convirtió en el nuevo modelo del malware basado en Internet.
En el año y medio transcurrido desde el surgimiento de Gumblar, una serie de ataques similares han aparecido, y gracias a la aplicación de múltiples técnicas logran comprometer las débiles aplicaciones que se ejecutan en Internet en decenas de millones de sitios alrededor del mundo. Muchos de los ataques – que según algunos cálculos han comprometido a millones de sitios legítimos – se basan en técnicas sencillas y bien conocidas tales como la inyección SQL para apoderarse de un determinado sitio. Ese ataque es solo el primero en una cadena de eventos que incluye atacar las PCs de los visitantes de los sitios infectados, robar credenciales de acceso, contraseñas de banca en línea y otros datos valiosos para después usar la información robada en procesos de infección a otros sitios y así obtener dinero de las cuentas bancarias y tarjetas de crédito de las víctimas.
Este es un problema que va mucho más allá de los ataques normales de robo de identidad – aunque también forman parte de estas campañas – ya que son más difíciles de identificar por parte de los usuarios. Las explotaciones utilizadas en los ataques en masa de Gumblar son típicamente descargas automáticas que ocurren en el fondo, con poca o ninguna información que advierta al usuario de que algo está mal. Añada el hecho de que estos ataques están emanandos de sitios legítimos y tenemos un problema grave.
Los ataque en masa que realmente comprometieron sitios legítimos iniciaron en 2007, y el volumen y la gravedad de los ataques ha aumentado significativamente desde entonces, convirtiéndose en uno de los problemas más desconcertantes y complejos en materia de seguridad.
El ataque Gumblar y otras infecciones en masa similares han ayudado empujar una roca que puso de manifiesto la gran cantidad de fallas que existen en muchas de las aplicaciones Web que se usan actualmente. Y el problema de los sitio web comprometidos masivamente, según los expertos, puede ser mucho peor y cada vez se complica más gracias a una serie de factores que se han combinado para hacer que apropiarse de la Web sea un ejercicio simple y directo.
«Es un gran problema. Los desarrolladores de aplicaciones web realmente no se preocupan por la seguridad a menos que sea agregado a la última línea, y no lo es», dijo Jeremiah Grossman, CTO de la empresa especializada en aplicaciones de seguridad WhiteHat Security. «Los desarrolladores que saben cómo escribir código seguramente no reciben nuevas ofertas de trabajo debido a esa habilidad. Hacen lo que saben hacer. Toman las librerías de todas partes, el código es compartido con otros, está escrito en la casa , es renovado. Realmente suena como el mundo de los equipos de escritorio de hace 15 años. «
A medida que la cantidad y variedad de las aplicaciones Web se incrementan con los años, más y más desarrolladores se encuentran con la necesidad de añadir nuevas funcionalidades a una aplicación antigua para que pueda ser accesible desde la Web. Y, como señala Grossman, muy pocos de los desarrolladores Web han tenido algún tipo de formación sobre la escritura de código seguro o el despliegue de aplicaciones Web de forma segura, por lo que terminan preocupándose más por la funcionalidad y el rendimiento, que en tener una mejor seguridad.
Así, el resultado final son millones de aplicaciones Web con explotaciones simples y fáciles de explotar tornándose una galería de tiro virtual para los atacantes.
Desde que los investigadores comenzaron a examinar más a fondo el ataque Gumblar realizado entre abril y mayo de 2009, encontraron que el malware consistía en una conjunto de herramientas de explotación con varias etapas, en dónde gran parte de su éxito se debió a una vieja tecnología: FTP. El método de infección inicial de Gumblar involucra el uso de credenciales robadas para acceder a un servidor FTP en un determinado sitio. Una vez que el atacante tiene acceso, coloca una secuencia de comandos en tantos archivos JavaScript y PHP como le sea posible, estableciendo un verdadero y potencial campo minado para los visitantes del sitio ahora ya comprometido.
Cuando los visitantes llegan al sitio infectado, el malware Gumblar comienza a lanzar una serie de explotaciones a sus navegadores, incluidos aquellos que se aprovechar de las vulnerabilidades en Adobe PDF y Flash. Si uno de ellos tiene éxito, el troyano Gumblar se instala en el equipo de la víctima y comienza a monitorear el tráfico web en busca de credenciales FTP y otros datos valiosos, reiniciando el ciclo de infección.
Para tener una idea de la magnitud del problema de los sitios Web comprometidos en masa, considere que Gumblar fue identificado en marzo de 2009, y en mayo de 2010 ocupaba el segundo puesto como la pieza de malware de Internet con mayor presencia, según la unidad ScanSafe de Cisco. Y considere que Gumblar es sólo uno, de las tal vez decenas de ataques similares que están en curso actualmente, muchos de los cuales nunca aparecen en los titulares, o atraen la atención de los investigadores. En un momento dado, es probable que millones de páginas en sitios Web personales están comprometidos y que sirvan explotaciones a sus visitantes.
Un reciente ataque demostró que los atacantes no están quietos, y continúan adaptando sus técnicas para infectar la mayor cantidad posible de sitios y equipos. A principios de junio, los investigadores identificaron miles de páginas web que habían sido infectadas, aparentemente en muy pocos días, con una pieza de malware que provenía del dominio Robint.us. El ataque involucró un iFrame malicioso que se inyectó a los sitios que ejecutaban versiones vulnerables de Microsoft IIS y aplicaciones ASP.net. La campaña utilizó un ataque de inyección SQL para insertar el código malicioso en los sitios, una vulnerabilidad penosamente común en las aplicaciones Web, y que se ha convertido en el vector a seguir en este tipo de ataques.
La inyección de SQL es una técnica de ataque increíblemente común y ampliamente conocida, y aun así continúa funcionando. Este hecho se debe a la dificultad de erradicar todas las fallas de inyección SQL en las aplicaciones Web, y eso si asumimos que los propietarios delos sitios realmente evalúan esas aplicaciones, algo que esta fuera de la realidad.
«Las evaluaciones son geniales si contratas a un talento de gran valor. Las personas que están probando las aplicaciones no conocen lo suficiente sobre ellas para evaluarlas. Tienes que saber qué es lo que hace, cuál es su procesos de negocios, a dónde va y por qué «, dijo Rafal Los, especialista Senior en seguridad Web de HP. «Las aplicaciones, una vez que salen a la luz, se olvidan. La gente escribe basura y termina por ser eciclada, y todo va a la Web».
Una gran parte del problema es su escala. La gran cantidad de aplicaciones Web vulnerables hace que el trabajo de los atacantes sea muy simple. Si un ataque no funciona en una página, el atacante simplemente se pasa a otra dentro del mismo sitio, o se va un subdominio, o a un sitio totalmente diferente. Es algo que no tiene importancia. Además, muchas organizaciones no tienen un buen control sobre el tamaño y la topografía de su presencia en la Web, así que existe un número aún no determinado de sitios en línea olvidados y a la espera de ser apoderados, dicen los expertos.
«Muchas veces los sitios que son apropiados por los atacantes, son aquellos que las empresas ignoran que son suyos», dijo Grossman. «Pero estos sitios de segundo y tercer nivel son igual de valiosos. No sé cuál sea la respuesta. Digamos que la gente está haciendo su software de seguridad de la forma correcta, aun así, se necesitaría de mucho tiempo para repararlo. Nos tomó 15 años construir la asquerosa Web que tenemos ahora, así que nos podría llevar otros 15 años arreglarla».