Notificación por CGI: ¿dónde está la ética?


CGI (Common Gateway Interface) básicamente es una norma que permite la comunicación entre un servidor Web y un programa.

De esta manera podemos hacer que el programa intercambie información y datos con el servidor.





Por Marcos Rico (*)
marcos@videosoft.net.uy

Incluso a veces también utilizamos la palabra CGI para
referirnos al propio programa, es decir, al script.

Los CGI no están pensados para ningún uso perverso; más bien
todo lo contrario. Gracias a ellos podemos gozar de una gran
interactividad y una gran comodidad a la hora de navegar por
ciertas páginas de Internet. Gracias a los CGI podemos
realizar consultas personalizadas en la mayoría de los
buscadores y esto, qué duda cabe, facilita sobremanera
nuestro trabajo e incluso nuestro ocio en Internet.

Al contrario de lo que he leído en algunos manuales, CGI no
es sinónimo de Perl. Digamos que Perl simplemente es uno de
los lenguajes para hacer los CGI (tal vez el más indicado),
pero no el único: podemos hacernos nuestro CGI a la carta en
lenguaje C, por ejemplo.

Normalmente la extensión de los CGI es .cgi, pero no es una
norma fija; este caso funciona en servidores Apache, pero no
en todos los demás.

¿Por qué esta breve introducción al CGI?. Sencillamente
porque algunos programadores de troyanos, como bien conocen
Uds. están valiéndose de la versatilidad de los CGI para
conocer la IP de las víctimas casi al instante y de una
manera segura.

Ya comentábamos en otro artículo que los métodos de
notificación en los troyanos no son muy estables: los ICQ
Pagers pueden ser filtrados a nivel del servidor de ICQ si se
sospecha una actividad ilícita, los mensajes por MSN se
pierden cuando el atacante está offline, Hotmail y otras
empresas suelen filtrar como spam las notificaciones por e-
mail, etc.

¿Pero y si el atacante dispone de una Web propia con
capacidad para aceptar CGI?. Si el servidor Web está alojado
en su propio disco duro (incluso estando en un servidor
externo en el que sus propietarios no se preocupen de estos
problemas) y éste permanece online en todo momento, es un
método muy estable de notificación.

Aún así, éste no es el mayor inconveniente para aquellos que
desean navegar más seguros. ¿Y qué pasaría si las
notificaciones se hacen públicas para todo el mundo?. Esto es
perfectamente factible si usamos la interactividad de CGI.
¡Ni siquiera es necesario que el atacante esté online
manipulando el código fuente de su Web!. CGI permite hacerlo
automáticamente a intervalos de tiempo programados.

De esta manera la Web se autorregenera conforme el servidor
vaya recogiendo más notificaciones con las IP infectadas.
Esto puede hacerse a intervalos de 60 minutos, por ejemplo
(el intervalo de tiempo escogido dependería del ancho de
banda de que disponga el propietario del servidor Web: cuanto
menos ancho de banda, mayor ha de ser el intervalo de tiempo
escogido).

Desde luego, no estoy aportando una proterva idea nueva a
nadie porque esto por desgracia ya se está haciendo. Hay
ciertas Webs que están recogiendo cantidades ingentes de IP
infectadas cada cierto intervalo de tiempo durante 24 horas y
todos los días del año.

Imagínese esta hipotética situación: Usted es infectado con
un troyano y éste comunica su IP mediante CGI a un servidor
Web. Unos minutos después todo el mundo puede ver su IP
publicada en la Web, así como el puerto de su ordenador que
tiene abierto, amén de otros datos. Esto significa que en su
ordenador pueden entrar en ese momento cientos de atacantes
al mismo tiempo, saqueando todo tipo de datos e informaciones
confidenciales que Ud. posee en su disco duro.

Usted sospechará que está pasando algo y se desconectará de
Internet. Unos minutos más tarde se conectará otra vez y su
IP cambiará (en el caso de que sea variable). Es igual porque
el troyano notificará otra vez su IP al servidor Web y éste
volverá a publicarla para que todos los atacantes otra vez
entren.

Si ya es arriesgado que un atacante entre en nuestro
ordenador, figúrense lo que pasaría si lo hacen cientos de
ellos al mismo tiempo. Éste es el gran peligro de la
notificación de la IP mediante CGI cuando se hace pública.

Hay troyanos como Theef que todavía tienen disponible el
sistema de publicar la IP de los infectados.

Muy curioso fue el caso del troyano Net-Devil. Su "lista de
víctimas" se hizo tan famosa entre los atacantes que algunos
manipularon un poco el código del CGI del servidor de Net-
Devil para que la contraseña no fuera visible en la Web. Lo
hacían así: suponiendo que el script original fuera éste:
"?action= log&ip= *ip*&port= *port*&vicname=
*vicname*&usrname= *usrname*&server= *server*&password=
*password*", era tan sencillo como eliminar el campo
"&password= *password*".

Esto eliminaba en cierto modo el carácter público de la
"lista de víctimas", pues sólo el atacante que había editado
ese script podía acceder a la víctima. Ante la generalización
de esta actitud, que los propietarios de la Web curiosamente
calificaron de egoísta, Net-Devil suprimió su "lista de
víctimas".

Como vemos, la ética de esta gente brilla por su ausencia. Si
ya es grave usar una herramienta de espionaje contra alguien,
peor es aún hacer publico el espionaje.

Esto nos hace reflexionar una vez más sobre la versatilidad y
comodidad de Internet. Una vez más la simetría vuelve a
cumplirse: cuanto más poderosa sea una herramienta para
lograr propósitos positivos, más potente es también para
emplearla en la dirección e intención contrarias.


(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.


Fuente: VSAntivirus

Otras noticias de interés:

DirectX 10 para XP, Linux y Mac
Cody Brocious, un joven programador de San Diego, California, se ha puesto una meta ambiciosa: Desarrollar un convertidor de juegos ejecutables para DirectX 10, que te permita usarlos otros sistemas operativos aparte de Windows Vista. ...
Adobe corrige tres vulnerabilidades de Photoshop
Adobe ha publicado un nuevo parche para solucionar tres errores localizados en Photoshop CS4 11.0.1 para Windows y Mac, así como en las versiones anteriores del conocido editor de imágenes....
Desventajas del software ilegal y algunos consejos
Abundan los ejemplos de lo problemático que puede resultar ahorrarse dinero, no importa cuanto, al arriesgarse a usar software ilegal. En todos los casos uno va a tener problemas en el corto, mediano o largo plazo....
GPS Open Source
La experiencia que se narra en este artículo es interesante. Un británico, aficionado a las rutas en bicicleta, quiere poder programar anticipadamente una ruta (con Google Maps) e introducirla en un dispositivo GPS portátil que le sirva de guía d...
Escalada de privilegios en Windows XP (SSDP y UPnP)
Una vulnerabilidad que puede ser explotada por usuarios locales malintencionados para elevar sus privilegios, ha sido identificada en Microsoft Windows....
Ejecución remota de comandos en Apache Struts
Se han anunciado cuatro vulnerabilidades en Apache Struts (versiones 2.0.0 - 2.3.1.1), que podrían permitir a un atacante remoto ejecutar código Java....
Encuentran más vulnerabilidades en Internet Explorer
Un día después de que Microsoft lanzara un parche que soluciona las vulnerabilidades aprovechadas para los ataques contra Google, aparecen otros fallos en Internet Explorer....
Con una botnet se pueden ganar miles de dólares
José Nazario es una especie de cazafantasmas: investiga y persigue a las siempre cambiantes redes de ordenadores zombie que se esconden en la inmensidad del ciberespacio. Se infiltra en ellas, localiza a los delincuentes que las controlan y ...
Múltiples Vulnerabilidades en PHP
Se han divulgado en PHP múltiples vulnerabilidades que se pueden explotar por personas maliciosas para realizar ataques tipo cross-site scripting comprometiendo al sistema vulnerable. ...
Contramedidas prácticas para las últimas vulnerabilidades de Microsoft
Desde estas líneas hemos advertido ya en muchas ocasiones sobre las nuevas tendencias del malware y la cada vez más preocupante aparición de vulnerabilidades 0 day o problemas de seguridad para los que no existe parche pero sí forma de apr...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • cgi
  • chrome
  • cifrado
  • computer
  • debian
  • etica
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • notificacion
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra