Generalización de ataques tipo cross site scripting contra móviles y páginas de redes sociales

By
In Sin categoría

Tal y como adelantaba en mi último post, los principales objetivos a la hora de intentar explotar vulnerabilidades este año iban a ser los dispositivos móviles, y la generalización de ataques tipo cross site scripting contra páginas web con uso cada vez más habitual como Youtube o Facebook. Para justificar esto me basaba en la evolución del número y tipo de ataques a lo largo de este semestre.


Se ha generalizado el uso de los troyanos para explotar problemas en dispositivos móviles y vulnerabilidades que utilizan código malicioso para infectar sesiones web de usuarios utilizando redes sociales como Facebook, YouTube o Twenty haciendo que la velocidad de propagación aumente considerablemente.

Respecto a los problemas provocados en los móviles no hablamos de vulnerabilidades que hayan nacido para estos dispositivos, sino de ataques ya conocidos que se han mejorado o nuevas vías de ataque a través de programas para sincronizar datos entre nuestro PC y el móvil. El objetivo sigue siendo el mismo: robo de datos personales, replicación a traves de los contactos, mal funcionamiento del dispositivo.

Cabe destacar que a pesar del gran número de terminales móviles con los que operamos diariamente y lo dependientes que somos de ellos, es sorprendente la poca atención que prestamos a la seguridad de los mismos. ¿Será por la escasa concienciación de los riesgos a los que estamos sometidos?

Es sorprendente que prestemos tanta atención a la seguridad de los ordenadores personales y descuidemos la seguridad de los dispositivos móviles que operan con ellos. La mayoría de nosotros tenemos especial cuidado que nuestros ordenadores tengan el antivirus actualizado, no abrimos ficheros de fuentes desconocidas, incluso usamos frecuentemente software para evitar troyanos o cookies, en cambio, si se trata de dispositivos móviles pensamos que no van a ser afectados, o si lo son, los daños serían mínimos pues olvidamos toda la información sensible que llevamos en estos dispositivos: datos personales, contactos, claves, banca electrónica.

Para minimizar este tipo de riesgos sería recomendable tomar las siguientes precauciones:

·No activar el Bluetooth o IRDA, excepto cuando sea necesario.
·No aceptar la transferencia de archivos si el origen de los mismos no es de confianza.
·Utilizar diferentes contraseñas para el inicio y para el acceso a datos importantes.
·Tratar de tener actualizado el dispositivo, tanto su SO como las aplicaciones.
·Si se guarda cierta información confidencial es mejor cifrarla antes.
·Al igual que con los PC personales es aconsejable realizar copias periódicas de los datos.
·En el caso de las empresas, se deberían definir políticas de seguridad para el uso y mantenimiento de este tipo de dispositivos como BlackBerry o PDAs.

A pesar de que las infecciones vía web no son algo nuevo, la aparición de páginas como YouTube, Facebook, Twenty, y similares han motivado la aparición de herramientas como Youtube Fake Creator que permite crear páginas idénticas a las originales y desde las cuales se logra engañar al usuario para conseguir que se descargue lo que supuestamente sería un códec para ver un video cuando, realmente, se está descargando un archivo que incluye código malicioso o, quizás, mediante algún exploit, infectarse con tan solo acceder a la página poniendo en peligro su PC y, quizás, hasta sus datos financieros.

Una nueva fuente de infecciones surge por el hecho de que, páginas de las denominadas “redes sociales” como MySpace, permiten el intercambio de cualquier tipo de ficheros entre los usuarios que, unido a la facilidad de utilizar técnicas de ingeniería social en la que el atacante puede lograr ganarse la confianza de sus víctimas. Este tipo de ataques es cada vez más habitual.

Algunas páginas ya han comenzado a incluir ciertas recomendaciones de seguridad como, por ejemplo:

·No aceptar ficheros ejecutables sin tener clara la procedencia o efecto del mismo.
·Disponer de un antivirus actualizado.
·No descargar codecs de origen desconocido para visualizar ficheros multimedia.
·Realizar periódicamente copias de respaldo de los datos importantes.
·Cifrar la información más sensible de nuestro disco duro.

Estas serían las medidas mínimas que se deberían adoptar para evitar males mayores, pero, sin una campaña de concienciación para promover cambios en los hábitos de seguridad de los usuarios -y unas buenas políticas por parte de los proveedores de este tipo de páginas y servicios- este tipo de problemas continuarán aumentando.

Patxi Irisarri
S21sec e-crime

Recommended Posts
Showing 8 comments
  • Anónimo
    Responder

    Buen post patxi, tienes toda la razon.
    Un abrazo.

  • Anónimo
    Responder

    Buen post.
    Tuenti no Twenty.
    Delete me.

  • La competencia
    Responder

    Totalmente de acuerdo Sr Irisarri.
    Mi más sincera felicitación.

  • Anónimo
    Responder

    Un poco flojo, me gustaria ver mas profundidad en los temas y un estudio mas profundo de la problematica que unos simples trazos o reflexiones. Un saludo

  • Anónimo
    Responder

    Buen post, no llega al fondo pero eso que nos lo cuenten los auditores en el próximo. Felicidades.

  • Anónimo
    Responder

    No entiendo muy bien la interpretación de la gráfica que hace el autor. Según la gráfica el porcentaje de ataques tipo cross site scripting es muy pequeño (4% aunque no aparece reflejado). Entonces, cómo es que se titula el post "Generalización de ataques tipo cross site scripting"? Si alguien me lo puede aclarar…

  • Anónimo
    Responder

    Pues eso… sobre todo aplicar la herramienta… ¿como se llamaba?… ??? … AHHHH!!! Sí sentido común.
    Buen post amigo.

    ElSimioDeArabia

  • mewo
    Responder

    Thanks for the information!it is usefull!

Leave a Comment