Notificación por CGI: ¿dónde está la ética?


CGI (Common Gateway Interface) básicamente es una norma que permite la comunicación entre un servidor Web y un programa.

De esta manera podemos hacer que el programa intercambie información y datos con el servidor.





Por Marcos Rico (*)
marcos@videosoft.net.uy

Incluso a veces también utilizamos la palabra CGI para
referirnos al propio programa, es decir, al script.

Los CGI no están pensados para ningún uso perverso; más bien
todo lo contrario. Gracias a ellos podemos gozar de una gran
interactividad y una gran comodidad a la hora de navegar por
ciertas páginas de Internet. Gracias a los CGI podemos
realizar consultas personalizadas en la mayoría de los
buscadores y esto, qué duda cabe, facilita sobremanera
nuestro trabajo e incluso nuestro ocio en Internet.

Al contrario de lo que he leído en algunos manuales, CGI no
es sinónimo de Perl. Digamos que Perl simplemente es uno de
los lenguajes para hacer los CGI (tal vez el más indicado),
pero no el único: podemos hacernos nuestro CGI a la carta en
lenguaje C, por ejemplo.

Normalmente la extensión de los CGI es .cgi, pero no es una
norma fija; este caso funciona en servidores Apache, pero no
en todos los demás.

¿Por qué esta breve introducción al CGI?. Sencillamente
porque algunos programadores de troyanos, como bien conocen
Uds. están valiéndose de la versatilidad de los CGI para
conocer la IP de las víctimas casi al instante y de una
manera segura.

Ya comentábamos en otro artículo que los métodos de
notificación en los troyanos no son muy estables: los ICQ
Pagers pueden ser filtrados a nivel del servidor de ICQ si se
sospecha una actividad ilícita, los mensajes por MSN se
pierden cuando el atacante está offline, Hotmail y otras
empresas suelen filtrar como spam las notificaciones por e-
mail, etc.

¿Pero y si el atacante dispone de una Web propia con
capacidad para aceptar CGI?. Si el servidor Web está alojado
en su propio disco duro (incluso estando en un servidor
externo en el que sus propietarios no se preocupen de estos
problemas) y éste permanece online en todo momento, es un
método muy estable de notificación.

Aún así, éste no es el mayor inconveniente para aquellos que
desean navegar más seguros. ¿Y qué pasaría si las
notificaciones se hacen públicas para todo el mundo?. Esto es
perfectamente factible si usamos la interactividad de CGI.
¡Ni siquiera es necesario que el atacante esté online
manipulando el código fuente de su Web!. CGI permite hacerlo
automáticamente a intervalos de tiempo programados.

De esta manera la Web se autorregenera conforme el servidor
vaya recogiendo más notificaciones con las IP infectadas.
Esto puede hacerse a intervalos de 60 minutos, por ejemplo
(el intervalo de tiempo escogido dependería del ancho de
banda de que disponga el propietario del servidor Web: cuanto
menos ancho de banda, mayor ha de ser el intervalo de tiempo
escogido).

Desde luego, no estoy aportando una proterva idea nueva a
nadie porque esto por desgracia ya se está haciendo. Hay
ciertas Webs que están recogiendo cantidades ingentes de IP
infectadas cada cierto intervalo de tiempo durante 24 horas y
todos los días del año.

Imagínese esta hipotética situación: Usted es infectado con
un troyano y éste comunica su IP mediante CGI a un servidor
Web. Unos minutos después todo el mundo puede ver su IP
publicada en la Web, así como el puerto de su ordenador que
tiene abierto, amén de otros datos. Esto significa que en su
ordenador pueden entrar en ese momento cientos de atacantes
al mismo tiempo, saqueando todo tipo de datos e informaciones
confidenciales que Ud. posee en su disco duro.

Usted sospechará que está pasando algo y se desconectará de
Internet. Unos minutos más tarde se conectará otra vez y su
IP cambiará (en el caso de que sea variable). Es igual porque
el troyano notificará otra vez su IP al servidor Web y éste
volverá a publicarla para que todos los atacantes otra vez
entren.

Si ya es arriesgado que un atacante entre en nuestro
ordenador, figúrense lo que pasaría si lo hacen cientos de
ellos al mismo tiempo. Éste es el gran peligro de la
notificación de la IP mediante CGI cuando se hace pública.

Hay troyanos como Theef que todavía tienen disponible el
sistema de publicar la IP de los infectados.

Muy curioso fue el caso del troyano Net-Devil. Su "lista de
víctimas" se hizo tan famosa entre los atacantes que algunos
manipularon un poco el código del CGI del servidor de Net-
Devil para que la contraseña no fuera visible en la Web. Lo
hacían así: suponiendo que el script original fuera éste:
"?action= log&ip= *ip*&port= *port*&vicname=
*vicname*&usrname= *usrname*&server= *server*&password=
*password*", era tan sencillo como eliminar el campo
"&password= *password*".

Esto eliminaba en cierto modo el carácter público de la
"lista de víctimas", pues sólo el atacante que había editado
ese script podía acceder a la víctima. Ante la generalización
de esta actitud, que los propietarios de la Web curiosamente
calificaron de egoísta, Net-Devil suprimió su "lista de
víctimas".

Como vemos, la ética de esta gente brilla por su ausencia. Si
ya es grave usar una herramienta de espionaje contra alguien,
peor es aún hacer publico el espionaje.

Esto nos hace reflexionar una vez más sobre la versatilidad y
comodidad de Internet. Una vez más la simetría vuelve a
cumplirse: cuanto más poderosa sea una herramienta para
lograr propósitos positivos, más potente es también para
emplearla en la dirección e intención contrarias.


(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.


Fuente: VSAntivirus

Otras noticias de interés:

Vulnerabilidad en Remote Desktop Protocol (RDP)
Microsoft publicó una nuevo aviso de seguridad (Microsoft Security Advisories 904797), donde advierte sobre una vulnerabilidad en el componente "Escritorio remoto" (Remote Desktop) de Windows XP, 2000 y 2003....
ghostbar: sobre el Internet en Venezuela
Advertencia: este artículo tiene alto contenido contra-gobierno. Si puede sentirse afectado por ello no lo lea, o réce unos 10 Chávez-Nuestro antes y después....
Expertos advierten sobre la seguridad en Adobe - AIR
AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0. ...
Microsoft podría comprar Network Associates
La famosa compañía de seguridad informática está en venta, y aparentemente se encuentra en la mira de Microsoft. Se espera para el próximo 1 de julio el anuncio de una transferencia oficial. ...
Descubrir contraseña de seis caracteres tarda 4 seg.
La tecnología avanza sin precedentes y, con eso, debería hacerlo el usuario en tratar de mantenerse al margen de los abusos que realizan de ella en beneficio de algunos delincuentes....
Dr.Web Antivirus Link Checker, Antivirus para Firefox
Dr.Web Antivirus Link Checker es una interesante extensión que se encargará de integrar una sencilla solución antivirus a nuestro Firefox, de tal forma que nos ayude a comprobar la seguridad de un sitio Web o de un archivo cuando estamos navegando...
Denegación de servicio en Firefox 2.0.0.9
Un nuevo fallo ha sido descubierto en el recién publicado Firefox 2.0.0.9. Recordemos que esta versión corregía múltiples problemas agregados por la anterior (y también reciente), versión 2.0.0.8....
Vulnerabilidad del Servicio Print Spooler de Microsoft Windows
Se ha dado a conocer una nueva vulnerabilidad de Mircosoft Windows, esta vez es el servicio Print Spooler...
MS parchea EMET, su herramienta de seguridad empresarial
Microsoft ha parcheado EMET, una herramienta de seguridad empresarial que ha impedido que algunas copias de Chrome se actualicen....
Los 10 virus informáticos más costosos de la historia
Es lo que todavía echo en falta en esta crisis en la que nos crecen los enanos, algún gran colapso informático que de alguna manera sirva como excusa para que baje la bolsa, suba la prima y ya de paso, nos suban algún impuesto....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • cgi
  • chrome
  • cifrado
  • computer
  • debian
  • etica
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • notificacion
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra