29 mayo 2008

Malware 2.0

Mucho se ha hablado ya de los conceptos Malware; troyanos, keyloggers, phishing y toda una suerte de programas destinados a “hacer el mal” de una forma u otra. Si esperabas un articulo con un “más de lo mismo” sigue leyendo porque no es nuestra intención aburrir con conceptos ya trillados. De lo que va el post de hoy, es de aplicar esos conceptos a lo que se denomina “web 2.0”.

En concreto, vamos a hablar del phishing aplicado a una conocida aplicación web-2.0: Facebook. Facebook es, tal vez, la mas famosa y conocida red social de Internet, muy posiblemente tu estés ahí o al menos, algún amigo tuyo ande por esos lares. Esta red social, grosso modo, permite estar en contacto con tus amigos/conocidos/gente que te interesa, y además, permite crear aplicaciones que se ejecutan dentro del “ecosistema Facebook” a modo de widgets.

Si conoces facebook, te sonaran las típicas aplicaciones ¿tu trabajo es divertido? O ¿qué clase de cinéfilo eres?. Este tipo de aplicaciones en su mayoría son aplicaciones creadas por terceros, que se ejecutan dentro de Facebook ampliando las capacidades, siendo tal vez, uno de los puntos fuertes de la red. Estas aplicaciones, como en el mundo 1.0, pueden ser legitimas y “buenas” o estar diseñadas para ser “Malas”.

Últimamente nos han llegado correos diciendo que, si, hablar de seguridad a un nivel hiper-técnico con objetos OLE, funciones criptográficas, exploits y todo eso, está bien, pero se echa de menos algo mas digerible, así que recogemos el guante lanzado y en esta ocasión me voy a lanzar con un ensayo para explicar los conceptos.

Hagamos juntos un ejercicio de imaginación, imaginemos que, en la Internet hispana, existe un blogger muy famoso (de esos que salen en el top 5 de alianzo), este blogger cuyo blog es, digamos, su nombre + su apellido.com, gusta de lanzar diatribas contra cierta sociedad general de autores por su excesivo celo recaudatorio y, dada la proyección mediática del blogger, la abnegada sociedad de autores empieza a estar molesta y se propone contra-atacar donde mas le pueda doler: en Internet.

Una soleada mañana, cierto directivo tiene conocimiento de un nuevo blog de seguridad que acaba de empezar y ha publicado un artículo explicando las inseguridades de la FNMT. Impresionado por lo que ha leído ahí, y pese a que las cuentas de la susodicha sociedad a la que pertenece, están exhaustas por culpa de la piratería en Internet, reúne cierto capital y se pone en contacto con los autores del blog. Tras una noche de excesos, mujeres, licores y varias horas cantando el “litros de alcohol” en un Karaoke, llega a un acuerdo con los autores del blog, ofreciéndoles una suma de dinero que les permitirá retirarse del oscuro mundo de la seguridad informática y dedicarse, por ejemplo, a un negocio de futuro como la especulación inmobiliaria (por todos es sabido que los pisos nunca bajan). Después de analizar el perfil del blogger y averiguar que es asiduo de FaceBook, se ponen manos a la obra para diseñar un señuelo que les permita obtener las credenciales del blogger y poder vengar el honor de la incomprendida sociedad recaudatoria.

Después de mucho darle vueltas sobre el enfoque, deciden que si algo es a un blogger lo que el poder a un político, es la popularidad y el ego. Así que, aprovechando las capacidades de FaceBook para crear tus propias aplicaciones, diseñan una que resulte un atractivo señuelo; el resultado:


Una aplicación a primera vista legitima dentro de facebook, “una mas de tantas aplicaciones para perder el tiempo”. En este caso la temática se basa en lo mucho/poco popular que eres como blogger. Una vez agregada :


te conduce al siguiente formulario:


Como se puede observar, la aplicación parece una simple e inocente aplicación de análisis, asegura hacer consultas en technorati, google y ademas, se ofrece a “analizar” tu información en google analytics. Si rellenamos el formulario, nos da un supuesto resultado de popularidad:

Una vez preparado el señuelo, hacen llegar un mensaje interno vía facebook a nuestro BloggerHood publicitando la nueva aplicación. Este, al leerlo, y movido por la curiosidad de saber si es mas o menos popular que su amigo el editor de error404.net, rellena el formulario, y queda feliz al conocer su alta popularidad. En realidad, lo que ha hecho ha sido entregar su google ID y contraseña, ya que la aplicación ha sido diseñada para guardar esos datos.

Una vez con el login y password de Gmail en su mano, nuestros bloggers-vendidos acceden a su correo electrónico y entre los correos archivados (ya sabes, Gmail, no borres, archiva), consiguen los datos de acceso al blog.

En ese punto, proceden a cometer su maquiavélica tropelía:

-Game Over-

Esperamos que el relato haya sido ameno y divertido. Este escenario, TOTALMENTE inventado (toda coincidencia con la realidad es pura casualidad) es totalmente factible en el mundo real y con total seguridad, no tardaremos en ver cosas así en un futuro inmediato. Dado el concepto que subyace al mundo 2.0, “El usuario como creador de contenidos” habrá, como siempre ha habido, usuarios “buenos” y usuarios “malos”.

Como hemos visto, crear una aplicación de phishing que sea accesible mediante Facebook es técnicamente posible y puede ser una idea tentadora para aprovechar la bisoñez inicial de esta nueva era de redes sociales. El hecho de que aparezca “dentro de facebook” posiblemente a mucha gente le de la suficiente confianza como para relajar el nivel de paranoia y picar.
Como curiosidad, decir que la aplicación que hemos creado en facebook para escribir este post, existe y se puede ver / añadir en la siguiente URL: http://apps.facebook.com/bloggerfamoso/

Un saludo !