Español | English
rss facebook linkedin Twitter

Generalización de ataques tipo cross site scripting contra móviles y páginas de redes sociales

Tal y como adelantaba en mi último post, los principales objetivos a la hora de intentar explotar vulnerabilidades este año iban a ser los dispositivos móviles, y la generalización de ataques tipo cross site scripting contra páginas web con uso cada vez más habitual como Youtube o Facebook. Para justificar esto me basaba en la evolución del número y tipo de ataques a lo largo de este semestre.


Se ha generalizado el uso de los troyanos para explotar problemas en dispositivos móviles y vulnerabilidades que utilizan código malicioso para infectar sesiones web de usuarios utilizando redes sociales como Facebook, YouTube o Twenty haciendo que la velocidad de propagación aumente considerablemente.

Respecto a los problemas provocados en los móviles no hablamos de vulnerabilidades que hayan nacido para estos dispositivos, sino de ataques ya conocidos que se han mejorado o nuevas vías de ataque a través de programas para sincronizar datos entre nuestro PC y el móvil. El objetivo sigue siendo el mismo: robo de datos personales, replicación a traves de los contactos, mal funcionamiento del dispositivo.

Cabe destacar que a pesar del gran número de terminales móviles con los que operamos diariamente y lo dependientes que somos de ellos, es sorprendente la poca atención que prestamos a la seguridad de los mismos. ¿Será por la escasa concienciación de los riesgos a los que estamos sometidos?

Es sorprendente que prestemos tanta atención a la seguridad de los ordenadores personales y descuidemos la seguridad de los dispositivos móviles que operan con ellos. La mayoría de nosotros tenemos especial cuidado que nuestros ordenadores tengan el antivirus actualizado, no abrimos ficheros de fuentes desconocidas, incluso usamos frecuentemente software para evitar troyanos o cookies, en cambio, si se trata de dispositivos móviles pensamos que no van a ser afectados, o si lo son, los daños serían mínimos pues olvidamos toda la información sensible que llevamos en estos dispositivos: datos personales, contactos, claves, banca electrónica.

Para minimizar este tipo de riesgos sería recomendable tomar las siguientes precauciones:

·No activar el Bluetooth o IRDA, excepto cuando sea necesario.
·No aceptar la transferencia de archivos si el origen de los mismos no es de confianza.
·Utilizar diferentes contraseñas para el inicio y para el acceso a datos importantes.
·Tratar de tener actualizado el dispositivo, tanto su SO como las aplicaciones.
·Si se guarda cierta información confidencial es mejor cifrarla antes.
·Al igual que con los PC personales es aconsejable realizar copias periódicas de los datos.
·En el caso de las empresas, se deberían definir políticas de seguridad para el uso y mantenimiento de este tipo de dispositivos como BlackBerry o PDAs.

A pesar de que las infecciones vía web no son algo nuevo, la aparición de páginas como YouTube, Facebook, Twenty, y similares han motivado la aparición de herramientas como Youtube Fake Creator que permite crear páginas idénticas a las originales y desde las cuales se logra engañar al usuario para conseguir que se descargue lo que supuestamente sería un códec para ver un video cuando, realmente, se está descargando un archivo que incluye código malicioso o, quizás, mediante algún exploit, infectarse con tan solo acceder a la página poniendo en peligro su PC y, quizás, hasta sus datos financieros.

Una nueva fuente de infecciones surge por el hecho de que, páginas de las denominadas “redes sociales” como MySpace, permiten el intercambio de cualquier tipo de ficheros entre los usuarios que, unido a la facilidad de utilizar técnicas de ingeniería social en la que el atacante puede lograr ganarse la confianza de sus víctimas. Este tipo de ataques es cada vez más habitual.

Algunas páginas ya han comenzado a incluir ciertas recomendaciones de seguridad como, por ejemplo:

·No aceptar ficheros ejecutables sin tener clara la procedencia o efecto del mismo.
·Disponer de un antivirus actualizado.
·No descargar codecs de origen desconocido para visualizar ficheros multimedia.
·Realizar periódicamente copias de respaldo de los datos importantes.
·Cifrar la información más sensible de nuestro disco duro.

Estas serían las medidas mínimas que se deberían adoptar para evitar males mayores, pero, sin una campaña de concienciación para promover cambios en los hábitos de seguridad de los usuarios -y unas buenas políticas por parte de los proveedores de este tipo de páginas y servicios- este tipo de problemas continuarán aumentando.

Patxi Irisarri
S21sec e-crime

8 comentarios:

Anónimo dijo...

Buen post patxi, tienes toda la razon.
Un abrazo.

Anónimo dijo...

Buen post.
Tuenti no Twenty.
Delete me.

La competencia dijo...

Totalmente de acuerdo Sr Irisarri.
Mi más sincera felicitación.

Anónimo dijo...

Un poco flojo, me gustaria ver mas profundidad en los temas y un estudio mas profundo de la problematica que unos simples trazos o reflexiones. Un saludo

Anónimo dijo...

Buen post, no llega al fondo pero eso que nos lo cuenten los auditores en el próximo. Felicidades.

Anónimo dijo...

No entiendo muy bien la interpretación de la gráfica que hace el autor. Según la gráfica el porcentaje de ataques tipo cross site scripting es muy pequeño (4% aunque no aparece reflejado). Entonces, cómo es que se titula el post "Generalización de ataques tipo cross site scripting"? Si alguien me lo puede aclarar...

Anónimo dijo...

Pues eso... sobre todo aplicar la herramienta... ¿como se llamaba?... ??? ... AHHHH!!! Sí sentido común.
Buen post amigo.

ElSimioDeArabia

mewo dijo...

Thanks for the information!it is usefull!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login