Ataques web externos cambian el paradigma de seguridad

Los sistemas de seguridad tradicionales pueden ser ineficaces y volverse obsoletos para evitar los ataques web lanzados por los países, según Val Smith, fundador de Attack Research. Las nuevas tendencias de ataque incluyen spam en blogs e inyecciones SQL de Rusia y China, dijo Smith durante su presentación en Source Boston Security Showcase el viernes.

"Los ataques del lado del cliente son hacia donde va el paradigma", dijo Smith. "Los sistemas de seguridad monolíticos ya no funcionan".

Los hackers usan navegadores web como herramientas de explotación para propagar malware y recopilar información confidencial. Smith usó ejemplos de clientes de su empresa, que analiza e investiga los ataques informáticos para demostrar la amenaza planteada por el spam de blogs y los ataques SQL.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los atacantes "Tráfico de sitios con spam de blogs y comentarios publicados en blogs", dijo. Los comentarios parecían extraños y tendían a tener frases no inglesas colocadas en grandes bloques de texto con palabras aleatorias hipervinculadas, dijo. Al hacer clic en esos enlaces, los usuarios se dirigían a sitios que parecían blogs pero tenían páginas cargadas de malware, dijo Smith.

Un banco chino era propietario de los dominios de cada sitio de malware, pero las direcciones de IP (Protocolo de Internet) se remontaban a Alemania. El estudio de los enlaces reveló que cada uno contenía palabras en ruso o rumano, dijo Smith. Al colocar un giro internacional en sus actividades nefastas, los piratas informáticos esperaban confundir a cualquiera que investigara su trabajo, dijo.

"¿Cómo vas a rastrear esto hasta los malos?" dijo, señalando que el rastreo se complica con barreras idiomáticas, trabajando con organizaciones de leyes extranjeras y tratando con países que "simplemente no quieren hablar con nosotros".

Mientras los objetivos de los ataques de spam en blogs siguen sin estar claros, Smith dijo que los incentivos financieros servir como motivación El software publicitario instalado después de que un usuario visita un sitio infectado genera un hacker de dinero, al igual que hacer clic en un anuncio en la página. Otros hackers están buscando expandir sus botnets, o redes de máquinas comprometidas usadas con propósitos malévolos.

La investigación de Smith rastreó los ataques a una cuenta de DSL doméstica en Rusia. La naturaleza internacional del incidente hizo poco probable el enjuiciamiento, dijo.

El ataque de inyección SQL que Smith discutió se originó en China e intentó robar información sobre los negocios que visitaron el sitio web de la compañía, que era el cliente de Smith.

Los hackers primero lanzaron una inyección SQL y cargaron una puerta trasera que les permitió tomar el control del sistema.

Las inyecciones SQL adicionales fallaron, por lo que los hackers buscaron en el sistema otro exploit. Encontraron una aplicación de biblioteca que permite subir imágenes. Los hackers subieron un archivo GIF con una línea de código contenida en la imagen. El sistema informático leyó la etiqueta GIF y cargó la foto y automáticamente ejecutó el código.

Hackers "se enfocó en una aplicación escrita a medida, internamente, y lanzó un ataque específico contra esa aplicación", dijo Smith.

Los hackers finalmente colocaron el código HTML "iFrame" en cada página del sitio web de la compañía. IFrames redirigió el navegador de la víctima a un servidor que infecta la computadora con una herramienta llamada "MPack". Esta herramienta perfiló el sistema operativo y el navegador de una víctima y lanzó ataques basados ​​en esa información.

El resultado es que las víctimas reciben ataques múltiples, dijo Smith.

Hoy, los ataques de inyección SQL son la mayor amenaza para la seguridad web, dijo Ryan Barnett, director de seguridad de aplicaciones en Breach Security, en una entrevista separada de la conferencia.

El año pasado, los ciberdelincuentes comenzaron a desatar ataques masivos en la Web que han comprometido más de 500,000 sitios web, según el proveedor de seguridad. "Comenzaron en enero y atravesaron esencialmente todo el año", dijo Barnett. Anteriormente, crear un ataque de inyección SQL llevó tiempo, pero el año pasado los atacantes crearon un código de gusano que podía buscar automáticamente y acceder a cientos de miles de sitios muy rápidamente.

Ahora, en lugar de robar datos de los sitios web pirateados, los delincuentes están cambiando y plantando scripts maliciosos que atacan a los visitantes del sitio. "Ahora el sitio se está convirtiendo en un almacén de malware", dijo.

(Bob McMillan en San Francisco contribuyó a este informe)