Foro de LeThe Online y Joshua Marius

Código: Seleccionar todo

Hispasec - una-al-día                                  30/06/2010
 Todos los días una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------

[b] El divorcio entre el malware y la pornografía[/b]
 ---------------------------------------------

A principios de esta década, se solía acusar a los usuarios que quedaban
infectados por algún tipo de malware de navegar por páginas "de dudosa
reputación". Esto incluía páginas pornográficas, cracks, warez, etc.
Pero los tiempos han cambiado, y esta relación malware-pornografía ha
pasado a ser un mito más que revisar. El peligro hoy, de hecho, está
en cualquier página.

Dialers, codecs, vídeos camuflados como ejecutables… todo tipo de trucos
eran válidos a principios de esta década para que los usuarios que
buscaban sexo en la red quedaran infectados. Hoy se siguen usando, pero
los métodos de infección preferidos por el malware de entonces eran
sobre todo el correo (tanto en forma de adjuntos como explotando las
numerosas vulnerabilidades en Outlook), el acceso directo a puertos
(gusanos) y las páginas web "de dudosa reputación". Con estos métodos,
cubrían sus necesidades de infección por aquel entonces.

Pero apareció en 2004 el Service Pack 2 de Windows XP, que activaba por
defecto el cortafuegos y se popularizaron los routers, con lo que los
gusanos vieron amenazada su popularidad. Por otro lado, Outlook y
Windows mejoraron su seguridad, los administradores comenzaron a filtrar
el correo con adjuntos sospechosos… ¿Qué les quedaba? Eludir todos estos
mecanismos y colarse a través de otros métodos. Emergía la llamada web
2.0 y "la nube", que no es más que el traslado de todos los servicios
desde el escritorio a la red; y por tanto el acceso a ellos a través del
navegador… así que atacaron por esta vía.

Hoy, el malware se distribuye en gran medida a través del navegador. El
retraso de Microsoft con Internet Explorer (cinco años entre su versión
6 y 7) facilitó el proceso: los atacantes querían aprovechar esas
vulnerabilidades y ejecutar malware con solo visitar una web. Para ello,
necesitan "crear" webs que infecten. Ya no eran suficientes las páginas
pornográficas o de warez y se han lanzado a contaminar todo tipo de
contenido.

Y esto es lo que confirman dos estudios recientes. International Secure
System Lab investigó 269.000 sitios pornográficos a principios de junio.
El 96% estaba limpio. Evidentemente, muchos usaban técnicas muy
"agresivas" para redirigir al usuario a páginas de pago, evitar que
abandonase la página, etc. pero apenas un 4% trataba de infectar directa
o indirectamente al visitante.

Avast Software, por otro lado, acaba de publicar un informe cuya
conclusión es clara: "por cada página de adultos infectada que hemos
identificado, existen otras 99 con cualquier otro contenido que también
están infectadas" e intentan ejecutar código en el visitante.

Ambos estudios concluyen que el peligro no está ya tanto en las páginas
para adultos, sino en todas. No es que sea seguro visitar páginas con
contenido sexual, es que hoy en día resulta tan inseguro visitar el
periódico online como una página de contactos. Otro estudio de Websense
apoya esta teoría: el 71% de las páginas infectadas con código malicioso
son páginas legítimas comprometidas. Además, el 95% de los posts
generados en blogs y similares son spam o redirigen a páginas que
intentan infectar al visitante.

Las razones para este abandono de la pornografía como fuente de malware
pueden ser varias. Aunque el sexo siempre resulta un poderoso reclamo
en la Red, apostamos una vez más por una simple cuestión económica y
de mercado. El rango de víctimas potenciales que se puede conseguir
alojando malware en páginas de cualquier tipo (preferiblemente
populares) será siempre superior al obtenido si se centran en páginas
web para adultos. Por tanto, pensamos que los atacantes no realizan
ningún tipo de distinción por contenido, y sí más bien por el esfuerzo
necesario para contaminar esas webs legítimas. Y en ese caso, la
pornografía es veterana en la Red, donde la competencia es dura y su
negocio se basa en una web "sólida", sin fallos de seguridad (lo que
significa más esfuerzo para ser infectada por un atacante), y que dé
confianza a un potencial suscriptor (por lo que no hay motivo para
infectar conscientemente y perder reputación). Por tanto, la inversión
en seguridad y conocimiento del medio de la industria pornográfica puede
ser incluso mayor que la de otras entidades que mantienen online apenas
una réplica "secundaria" del mundo real, y su negocio no depende
exclusivamente de Internet.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4267/comentar

Más información:

Websense Security Labs:
State of Internet Security, Q3-Q4 2009 Report
http://www.websense.com/content/State-of-Internet-Security-Q3-Q4-2009.aspx

Legitimate websites outscore the adult 99:1
http://www.avast.com/pr-legitimate-websites-outscore-the-adult

'Shady' porn site practices put visitors at risk
http://news.bbc.co.uk/2/hi/technology/10289009.stm


Sergio de los Santos
ssantos@hispasec.com