Por Angela Ruiz
angela@videosoft.net.uy

Los ataques a través de páginas de búsqueda de Google, se mantienen fuertes y activos, según un informe del investigador Dancho Danchev. Esta clase de ataque fue reportada desde principios de marzo.

Los ataques realizados, se basan en la técnica de optimización de buscadores denominada SEO, para inyectar código mediante CROSS-SITE-SCRIPTING (XSS), de tal modo que cuando el usuario hace clic en uno de los vínculos encontrados, se ejecuta un script generalmente dentro de un IFRAME oculto.

La tarea de ajustar la información de las paginas que se pretenden hacer aparecer en primeras posiciones de los resultados es conocida como SEO, sigla en inglés de Search Engine Optimization, optimización para motores de búsqueda. Consiste en aplicar diversas técnicas tendientes a lograr que los buscadores de Internet sitúen determinada página web en una posición y categoría alta (primeras posiciones) dentro de su página de resultados para determinados términos y frases clave de búsqueda (extractado de Wikipedia).

Una etiqueta IFRAME permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no. En este caso se utilizan para eludir las restricciones de seguridad y ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios, desde sitios diferentes al que visita el usuario.

Una de las primeras explicaciones de este tipo de ataque fue reportada por la empresa de seguridad Finjan hace un par de semanas.

El problema no está en Google específicamente (ni en otro buscador), sino en los sitios indexados. La conclusión, es que el tema de los ataques del tipo XSS, sigue siendo un importante problema para muchos sitios web, inclusive para los más importantes y conocidos, y debería ser tratado con una prioridad más alta de la que ha recibido hasta ahora.

Según Danchev, la cantidad e importancia de estos sitios, ha aumentado y la cifra sigue creciendo. Cuando hablamos de "importancia" de los sitios, nos referimos a páginas web que normalmente consideramos seguras y utilizamos diariamente, y que por lo tanto es muy difícil llegar a desconfiar de ellas.

Según el reporte de Danchev, sitios como USAToday.com, ABCNews.com, News.com, Target.com, PackardBell.com, Walmart.com, Rediff.com, MiamiHerald.com, Bloomingdales.com, PatentStorm.us, WebShots.com, Forbes.com, Nakido.com, Uvm.edu, hobbes.nmsu.edu, jurist.law.pitt.edu, boisestate.edu y otros, tienen IFRAMES que apuntan a otras páginas, desde donde se inyectan en los PC de los usuarios, variantes de virus como Zlob y otros que son falsos antivirus.

Danchev también dice que Google ha activado un filtrado para minimizar esta clase de ataque, pero mientras los responsables de los sitios no cierren las vulnerabilidades que poseen, los cuáles permiten la explotación a través de IFRAMES, el problema seguirá existiendo.

Lo único que nos queda es confiar en nuestros antivirus y cortafuegos. Un problema secundario, pero no menos importante, es que la gente muchas veces confía en productos ilegales para proteger sus equipos. Muchos de esos productos no pueden actualizarse correctamente (aunque la base de firmas parezca estar al día), ya que si lo hicieran, el "*****" que lo mantiene activo dejaría de funcionar.


Más información:

Massive IFRAME SEO Poisoning Attack Continuing
Dancho Danchev's Blog - Mind Streams of Information Security Knowledge

Optimizing Cross Site Scripting - and general security practices
Finjan MCRC Blog 2008 - Optimizing Cross Site Scripting - and general security practices


Relacionados:

Ataque generalizado a más de 10,000 sitios web
Ataque generalizado a más de 10,000 sitios web

Malware que se propaga a través de importantes foros es detectado por ESET.
ESET Uruguay

Ataque masivo a miles de sitios webs
ESET Uruguay

ESET informa sobre la utilización de codecs falsos para propagar códigos maliciosos
ESET Uruguay

Google, páginas de error 404 y malwares
Google, páginas de error 404 y malwares

La infección masiva surgió en servidores Apache
La infección masiva surgió en servidores Apache

El 80% de los sitios maliciosos son legítimos
El 80% de los sitios maliciosos son legítimos

Extraña infección masiva causa gran cantidad de tráfico
Extraña infección masiva causa gran cantidad de tráfico

Regreso al pasado vírico (Por Fernando de la Cuadra)
Regreso al pasado vírico (Por Fernando de la Cuadra)

Pornografía dura en Google Groups y troyanos
Pornografía dura en Google Groups y troyanos








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus