Notificación por CGI: ¿dónde está la ética?


CGI (Common Gateway Interface) básicamente es una norma que permite la comunicación entre un servidor Web y un programa.

De esta manera podemos hacer que el programa intercambie información y datos con el servidor.





Por Marcos Rico (*)
marcos@videosoft.net.uy

Incluso a veces también utilizamos la palabra CGI para
referirnos al propio programa, es decir, al script.

Los CGI no están pensados para ningún uso perverso; más bien
todo lo contrario. Gracias a ellos podemos gozar de una gran
interactividad y una gran comodidad a la hora de navegar por
ciertas páginas de Internet. Gracias a los CGI podemos
realizar consultas personalizadas en la mayoría de los
buscadores y esto, qué duda cabe, facilita sobremanera
nuestro trabajo e incluso nuestro ocio en Internet.

Al contrario de lo que he leído en algunos manuales, CGI no
es sinónimo de Perl. Digamos que Perl simplemente es uno de
los lenguajes para hacer los CGI (tal vez el más indicado),
pero no el único: podemos hacernos nuestro CGI a la carta en
lenguaje C, por ejemplo.

Normalmente la extensión de los CGI es .cgi, pero no es una
norma fija; este caso funciona en servidores Apache, pero no
en todos los demás.

¿Por qué esta breve introducción al CGI?. Sencillamente
porque algunos programadores de troyanos, como bien conocen
Uds. están valiéndose de la versatilidad de los CGI para
conocer la IP de las víctimas casi al instante y de una
manera segura.

Ya comentábamos en otro artículo que los métodos de
notificación en los troyanos no son muy estables: los ICQ
Pagers pueden ser filtrados a nivel del servidor de ICQ si se
sospecha una actividad ilícita, los mensajes por MSN se
pierden cuando el atacante está offline, Hotmail y otras
empresas suelen filtrar como spam las notificaciones por e-
mail, etc.

¿Pero y si el atacante dispone de una Web propia con
capacidad para aceptar CGI?. Si el servidor Web está alojado
en su propio disco duro (incluso estando en un servidor
externo en el que sus propietarios no se preocupen de estos
problemas) y éste permanece online en todo momento, es un
método muy estable de notificación.

Aún así, éste no es el mayor inconveniente para aquellos que
desean navegar más seguros. ¿Y qué pasaría si las
notificaciones se hacen públicas para todo el mundo?. Esto es
perfectamente factible si usamos la interactividad de CGI.
¡Ni siquiera es necesario que el atacante esté online
manipulando el código fuente de su Web!. CGI permite hacerlo
automáticamente a intervalos de tiempo programados.

De esta manera la Web se autorregenera conforme el servidor
vaya recogiendo más notificaciones con las IP infectadas.
Esto puede hacerse a intervalos de 60 minutos, por ejemplo
(el intervalo de tiempo escogido dependería del ancho de
banda de que disponga el propietario del servidor Web: cuanto
menos ancho de banda, mayor ha de ser el intervalo de tiempo
escogido).

Desde luego, no estoy aportando una proterva idea nueva a
nadie porque esto por desgracia ya se está haciendo. Hay
ciertas Webs que están recogiendo cantidades ingentes de IP
infectadas cada cierto intervalo de tiempo durante 24 horas y
todos los días del año.

Imagínese esta hipotética situación: Usted es infectado con
un troyano y éste comunica su IP mediante CGI a un servidor
Web. Unos minutos después todo el mundo puede ver su IP
publicada en la Web, así como el puerto de su ordenador que
tiene abierto, amén de otros datos. Esto significa que en su
ordenador pueden entrar en ese momento cientos de atacantes
al mismo tiempo, saqueando todo tipo de datos e informaciones
confidenciales que Ud. posee en su disco duro.

Usted sospechará que está pasando algo y se desconectará de
Internet. Unos minutos más tarde se conectará otra vez y su
IP cambiará (en el caso de que sea variable). Es igual porque
el troyano notificará otra vez su IP al servidor Web y éste
volverá a publicarla para que todos los atacantes otra vez
entren.

Si ya es arriesgado que un atacante entre en nuestro
ordenador, figúrense lo que pasaría si lo hacen cientos de
ellos al mismo tiempo. Éste es el gran peligro de la
notificación de la IP mediante CGI cuando se hace pública.

Hay troyanos como Theef que todavía tienen disponible el
sistema de publicar la IP de los infectados.

Muy curioso fue el caso del troyano Net-Devil. Su "lista de
víctimas" se hizo tan famosa entre los atacantes que algunos
manipularon un poco el código del CGI del servidor de Net-
Devil para que la contraseña no fuera visible en la Web. Lo
hacían así: suponiendo que el script original fuera éste:
"?action= log&ip= *ip*&port= *port*&vicname=
*vicname*&usrname= *usrname*&server= *server*&password=
*password*", era tan sencillo como eliminar el campo
"&password= *password*".

Esto eliminaba en cierto modo el carácter público de la
"lista de víctimas", pues sólo el atacante que había editado
ese script podía acceder a la víctima. Ante la generalización
de esta actitud, que los propietarios de la Web curiosamente
calificaron de egoísta, Net-Devil suprimió su "lista de
víctimas".

Como vemos, la ética de esta gente brilla por su ausencia. Si
ya es grave usar una herramienta de espionaje contra alguien,
peor es aún hacer publico el espionaje.

Esto nos hace reflexionar una vez más sobre la versatilidad y
comodidad de Internet. Una vez más la simetría vuelve a
cumplirse: cuanto más poderosa sea una herramienta para
lograr propósitos positivos, más potente es también para
emplearla en la dirección e intención contrarias.


(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.


Fuente: VSAntivirus

Otras noticias de interés:

Mozilla responde al estudio de Microsoft sobre la seguridad de Firefox
Los desarrolladores de Mozilla han devuelto el golpe a un estudio de Microsoft que sugiere que Internet Explorer es más seguro que Firefox....
Día Internacional de la Seguridad Informática
Hoy es el día internacional de la seguridad informática, tiene un especial valor en los tiempos actuales en cuanto a la información del usuario se refiere. Con Internet nos encontramos en un momento en el que la información privada de los usuario...
Facebook vuelve activar cookie de rastreo
Todo apunta a que la red social ha vuelto a habilitar una cookie que rastreaba la navegación del usuario. ...
Microsoft confirma vulnerabilidad en IE 8
Microsoft ha confirmado la existencia de una nueva vulnerabilidad de Internet Explorer 8. El fallo CVE-2013-1347 expone los ordenadores de los usuarios para la ejecución remota de código y todavía no se ha encontrado solución....
Denegación de servicio en Exchange 2000
Microsoft informó sobre una vulnerabilidad en Exchange 2000 que posibilita que, mediante un mensaje mal construido, se produzca -de forma temporal- una denegación de servicio del servidor de correo. En consecuencia, la compañía ofrece el parche n...
Vulnerabilidad en QuickTime mediante Java
QuickTime es propenso a una vulnerabilidad que puede facilitar un ataque remoto a un equipo vulnerable. ...
La ingeniería social sigue siendo la amenaza más peligrosa, según Ontinet.com
En numerosas ocasiones hemos hablado de las nuevas amenazas que están surgiendo como consecuencia de la importancia que está adquiriendo Internet en la vida de todos. Fernando de la Cuadra, director de educación de Ontinet.com, afirma que la ingen...
Ejecución remota de código a través imágenes JPEG y GIF en Windows CE
Se han encontrado múltiples vulnerabilidades en Microsoft Windows CE 5.0 que podrían ser aprovechadas por un atacante local o remoto para causar una denegación de servicio y ejecutar código arbitrario, y hasta comprometer por completo un sistema ...
Slackware Colombia
Este jueves pasado 10 de febrero se hizo el anunciamiento oficial del sitio y el grupo de SlackwareColombia.org Un sitio que buscar reunir a todos los usuarios de sla...
Opera 10.10 disponible
Opera Software acaba de presentar la última actualización de su reconocido navegador Opera, en la que básicamente se incluyeron una serie de mejoras respecto a la versión 10 presentada hace algunos meses....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • cgi
  • chrome
  • cifrado
  • computer
  • debian
  • etica
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • notificacion
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra