Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Notificación por CGI: ¿dónde está la ética?
|
|
VSantivirus No. 769 - Año 6 - Viernes 16 de agosto de 2002
Notificación por CGI: ¿dónde está la ética?
http://www.vsantivirus.com/mr-etica-cgi.htm
Por Marcos Rico (*)
marcos@videosoft.net.uy
CGI (Common Gateway Interface) básicamente es una norma que permite la comunicación entre un servidor Web y un programa. De esta manera podemos hacer que el programa intercambie información y datos con el servidor.
Incluso a veces también utilizamos la palabra CGI para referirnos al propio programa, es decir, al script.
Los CGI no están pensados para ningún uso perverso; más bien todo lo contrario. Gracias a ellos podemos gozar de una gran interactividad y una gran comodidad a la hora de navegar por ciertas páginas de Internet. Gracias a los CGI podemos realizar consultas personalizadas en la mayoría de los buscadores y esto, qué duda cabe, facilita sobremanera nuestro trabajo e incluso nuestro ocio en Internet.
Al contrario de lo que he leído en algunos manuales, CGI no es sinónimo de Perl. Digamos que Perl simplemente es uno de los lenguajes para hacer los CGI (tal vez el más indicado), pero no el único: podemos hacernos nuestro CGI a la carta en lenguaje C, por ejemplo.
Normalmente la extensión de los CGI es .cgi, pero no es una norma fija; este caso funciona en servidores Apache, pero no en todos los demás.
¿Por qué esta breve introducción al CGI?. Sencillamente porque algunos programadores de troyanos, como bien conocen Uds. están valiéndose de la versatilidad de los CGI para conocer la IP de las víctimas casi al instante y de una manera segura.
Ya comentábamos en otro artículo que los métodos de notificación en los troyanos no son muy estables: los ICQ Pagers pueden ser filtrados a nivel del servidor de ICQ si se sospecha una actividad ilícita, los mensajes por MSN se pierden cuando el atacante está offline, Hotmail y otras empresas suelen filtrar como spam las notificaciones por e-mail, etc.
¿Pero y si el atacante dispone de una Web propia con capacidad para aceptar CGI?. Si el servidor Web está alojado en su propio disco duro (incluso estando en un servidor externo en el que sus propietarios no se preocupen de estos problemas) y éste permanece online en todo momento, es un método muy estable de notificación.
Aún así, éste no es el mayor inconveniente para aquellos que desean navegar más seguros. ¿Y qué pasaría si las notificaciones se hacen públicas para todo el mundo?. Esto es perfectamente factible si usamos la interactividad de CGI. ¡Ni siquiera es necesario que el atacante esté online manipulando el código fuente de su Web!. CGI permite hacerlo automáticamente a intervalos de tiempo programados.
De esta manera la Web se autorregenera conforme el servidor vaya recogiendo más notificaciones con las IP infectadas. Esto puede hacerse a intervalos de 60 minutos, por ejemplo (el intervalo de tiempo escogido dependería del ancho de banda de que disponga el propietario del servidor Web: cuanto menos ancho de banda, mayor ha de ser el intervalo de tiempo escogido).
Desde luego, no estoy aportando una proterva idea nueva a nadie porque esto por desgracia ya se está haciendo. Hay ciertas Webs que están recogiendo cantidades ingentes de IP infectadas cada cierto intervalo de tiempo durante 24 horas y todos los días del año.
Imagínese esta hipotética situación: Usted es infectado con un troyano y éste comunica su IP mediante CGI a un servidor Web. Unos minutos después todo el mundo puede ver su IP publicada en la Web, así como el puerto de su ordenador que tiene abierto, amén de otros datos. Esto significa que en su ordenador pueden entrar en ese momento cientos de atacantes al mismo tiempo, saqueando todo tipo de datos e informaciones confidenciales que Ud. posee en su disco duro.
Usted sospechará que está pasando algo y se desconectará de Internet. Unos minutos más tarde se conectará otra vez y su IP cambiará (en el caso de que sea variable). Es igual porque el troyano notificará otra vez su IP al servidor Web y éste volverá a publicarla para que todos los atacantes otra vez entren.
Si ya es arriesgado que un atacante entre en nuestro ordenador, figúrense lo que pasaría si lo hacen cientos de ellos al mismo tiempo. Éste es el gran peligro de la notificación de la IP mediante CGI cuando se hace pública.
Hay troyanos como Theef que todavía tienen disponible el sistema de publicar la IP de los infectados.
Muy curioso fue el caso del troyano Net-Devil. Su "lista de víctimas" se hizo tan famosa entre los atacantes que algunos manipularon un poco el código del CGI del servidor de Net-Devil para que la contraseña no fuera visible en la Web. Lo hacían así: suponiendo que el script original fuera éste:
"?action= log&ip= *ip*&port= *port*&vicname=
*vicname*&usrname= *usrname*&server= *server*&password=
*password*", era tan sencillo como eliminar el campo "&password=
*password*".
Esto eliminaba en cierto modo el carácter público de la "lista de víctimas", pues sólo el atacante que había editado ese script podía acceder a la víctima. Ante la generalización de esta actitud, que los propietarios de la Web curiosamente calificaron de egoísta, Net-Devil suprimió su "lista de víctimas".
Como vemos, la ética de esta gente brilla por su ausencia. Si ya es grave usar una herramienta de espionaje contra alguien, peor es aún hacer publico el espionaje.
Esto nos hace reflexionar una vez más sobre la versatilidad y comodidad de Internet. Una vez más la simetría vuelve a cumplirse: cuanto más poderosa sea una herramienta para lograr propósitos positivos, más potente es también para emplearla en la dirección e intención contrarias.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|