11/01/06 18:12:05


LA NUEVA WEB DE LA CASA REAL TIENE UN PELIGROSO AGUJERO DE SEGURIDAD


Mercè Molist
David Alonso, un experto en seguridad informática, se llevó una sorpresa al visitar la remodelada web de la Casa Real: tenía un grave agujero de seguridad, llamado "Cross Site Scripting" (XSS), por el que un visitante malintencionado podía introducir noticias falsas que parecerían oficiales.
Después de una larga odisea, al no haber una forma de contacto en la web, Alonso consiguió que terceras partes avisasen a Teléfonica, encargada del sitio, quien cerró el agujero.
 
Según el experto, "dentro de los diversos fallos de XSS, el de la Casa Real es uno de los más fáciles de encontrar y evitar, porque sólo hay que cambiar la URL en el navegador". Estos agujeros son comunes en muchos servidores web, especialmente los que ofrecen contenidos dinámicos, cuando no verifican correctamente los datos que les envían los usuarios. A primera vista, parecen fallos menores y no se les da importancia, pero en las manos de alguien experimentado son altamente dañinos.

Un visitante puede atacar la web sencillamente tecleando una cadena de datos maliciosos en la barra de su navegador, en un formulario o un foro de la web. Al no verificarlos bien, el servidor se descoloca y permite al intruso hacer lo que se llama un "inyección de código": el servidor seguirá ciegamente las instrucciones que se le manden, por ejemplo para que aparezcan notas de prensa, anuncios, formularios o pantallas falsas. Si el ataque es elaborado se podrá robar el contenido de las "cookies" o las contraseñas que introduzcan los usuarios, para hacerse pasar por ellos.

La web de la Casa Real no es la primera en sufrir este fallo. El FBI, la CNN, Ebay, Google, Hotmail, Yahoo, Microsoft, Apple o Time han tenido agujeros parecidos. Hace tres años, David Alonso descubría otro en la web de El Corte Inglés. Por las mismas fechas, el colectivo Kernelpanic denunciaba que podía acceder al correo de los usuarios de Terra y suplantar su identidad, mediante estas técnicas. Desde entonces, se han detectado fallos de XSS en multitud de sitios, especialmente los dedicados a comercio y servicios electrónicos, que manejan contenidos dinámicos.

El XSS se ha usado también en casos de "phishing", para simular que una pantalla de "login" está dentro de la web de un banco y capturar las contraseñas que introduzcan allí los incautos. Hispasec Sistemas demostraba, a mediados de 2005, cómo se podían atacar de esta forma diversos bancos españoles, haciendo creer al usuario que estaba dentro de un servidor seguro de la entidad bancaria, con la típica URL https:// y el icono del candado en su navegador, sin que fuese cierto.

Hugo Vázquez, director técnico de Pentest, demostró el año pasado un error parecido en la web de Iberia, que abría el acceso a los datos de sus usuarios, desde tarjetas de crédito hasta números de telefóno. Vázquez es un estudioso del XSS y ha descubierto fallos en numerosos servidores web que le han reportado fama mundial, como Outlook Web Access, Internet Information Server 6.0, el sistema de caché Inktomi Traffic Server, usado por los mayores ISP del mundo, cuyo agujero permitía interceptar el tráfico de los usuarios, o recientemente los enrutadores Cisco, donde se podía tomar el control absoluto del equipo.

La forma más común de estos ataques es enviar a un usuario inocente una URL que contenga los datos maliciosos, por ejemplo: "http://www.casareal.es/mensaje?contenido=Mostrar+en+pantalla". Si pincha el enlace, irá a una página que, efectivamente, estará dentro de la web www.casareal.es, pero habrá sido generada dinámicamente a partir de las instrucciones que contiene la URL. Una vez allí, verá lo que el atacante quiera que vea, por ejemplo una pantalla de "login" donde, si introduce sus datos, irán directamente al atacante.

"Por supuesto, nunca se llega a alterar nada en el servidor web y únicamente afecta a la víctima. Esto es posible porque hay páginas que generan su contenido en el momento que se les solicita, por ejemplo la que tiene un buscador con un campo para introducir el texto buscado y devuelve una página que dice: "Su búsqueda "tal texto" no produjo ningún documento". Los programadores hacen plantillas, con algunas partes que se rellenarán en función de la petición del usuario, en este caso "tal texto". Si, en vez de texto, el usuario introduce código HTML o Javascript y los programadores no filtran lo introducido, puede aparecer una cosa totalmente distinta", explica Vázquez.



 
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
 

<<