11/01/06 18:12:05
LA NUEVA WEB DE LA CASA REAL TIENE UN PELIGROSO AGUJERO DE SEGURIDAD
Mercè Molist
David Alonso, un experto en seguridad informática, se
llevó una sorpresa al visitar la remodelada web de la Casa Real:
tenía un grave agujero de seguridad, llamado "Cross Site
Scripting" (XSS), por el que un visitante malintencionado podía
introducir noticias falsas que parecerían oficiales.
Después de una larga odisea, al no haber una forma de contacto
en la web, Alonso consiguió que terceras partes avisasen a
Teléfonica, encargada del sitio, quien cerró el agujero.
Según el experto, "dentro de los diversos fallos de XSS, el de
la Casa Real es uno de los más fáciles de encontrar y
evitar, porque sólo hay que cambiar la URL en el navegador".
Estos agujeros son comunes en muchos servidores web, especialmente los
que ofrecen contenidos dinámicos, cuando no verifican
correctamente los datos que les envían los usuarios. A primera
vista, parecen fallos menores y no se les da importancia, pero en las
manos de alguien experimentado son altamente dañinos.
Un visitante puede atacar la web sencillamente tecleando una cadena de
datos maliciosos en la barra de su navegador, en un formulario o un
foro de la web. Al no verificarlos bien, el servidor se descoloca y
permite al intruso hacer lo que se llama un "inyección de
código": el servidor seguirá ciegamente las instrucciones
que se le manden, por ejemplo para que aparezcan notas de prensa,
anuncios, formularios o pantallas falsas. Si el ataque es elaborado se
podrá robar el contenido de las "cookies" o las
contraseñas que introduzcan los usuarios, para hacerse pasar por
ellos.
La web de la Casa Real no es la primera en sufrir este fallo. El FBI,
la CNN, Ebay, Google, Hotmail, Yahoo, Microsoft, Apple o Time han
tenido agujeros parecidos. Hace tres años, David Alonso
descubría otro en la web de El Corte Inglés. Por las
mismas fechas, el colectivo Kernelpanic denunciaba que podía
acceder al correo de los usuarios de Terra y suplantar su identidad,
mediante estas técnicas. Desde entonces, se han detectado fallos
de XSS en multitud de sitios, especialmente los dedicados a comercio y
servicios electrónicos, que manejan contenidos dinámicos.
El XSS se ha usado también en casos de "phishing", para simular
que una pantalla de "login" está dentro de la web de un banco y
capturar las contraseñas que introduzcan allí los
incautos. Hispasec Sistemas demostraba, a mediados de 2005, cómo
se podían atacar de esta forma diversos bancos españoles,
haciendo creer al usuario que estaba dentro de un servidor seguro de la
entidad bancaria, con la típica URL https:// y el icono del
candado en su navegador, sin que fuese cierto.
Hugo Vázquez, director técnico de Pentest,
demostró el año pasado un error parecido en la web de
Iberia, que abría el acceso a los datos de sus usuarios, desde
tarjetas de crédito hasta números de telefóno.
Vázquez es un estudioso del XSS y ha descubierto fallos en
numerosos servidores web que le han reportado fama mundial, como
Outlook Web Access, Internet Information Server 6.0, el sistema de
caché Inktomi Traffic Server, usado por los mayores ISP del
mundo, cuyo agujero permitía interceptar el tráfico de
los usuarios, o recientemente los enrutadores Cisco, donde se
podía tomar el control absoluto del equipo.
La forma más común de estos ataques es enviar a un
usuario inocente una URL que contenga los datos maliciosos, por
ejemplo:
"http://www.casareal.es/mensaje?contenido=Mostrar+en+pantalla". Si
pincha el enlace, irá a una página que, efectivamente,
estará dentro de la web www.casareal.es, pero habrá sido
generada dinámicamente a partir de las instrucciones que
contiene la URL. Una vez allí, verá lo que el atacante
quiera que vea, por ejemplo una pantalla de "login" donde, si introduce
sus datos, irán directamente al atacante.
"Por supuesto, nunca se llega a alterar nada en el servidor web y
únicamente afecta a la víctima. Esto es posible porque
hay páginas que generan su contenido en el momento que se les
solicita, por ejemplo la que tiene un buscador con un campo para
introducir el texto buscado y devuelve una página que dice: "Su
búsqueda "tal texto" no produjo ningún documento". Los
programadores hacen plantillas, con algunas partes que se
rellenarán en función de la petición del usuario,
en este caso "tal texto". Si, en vez de texto, el usuario introduce
código HTML o Javascript y los programadores no filtran lo
introducido, puede aparecer una cosa totalmente distinta", explica
Vázquez.
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital medium, provided this notice is preserved.
<<