fbpx

Hackeando una web sin lanzar un ataque

 

Hola a todos!

Cuando nos lanzamos al mundo digital con nuestra web una de las principales preocupaciones es protegerla.

 

En principio podemos pensar en complicados ataques y engaños por parte de los hackers para conseguir su objetivo, pero en ocasiones no tienen ni que lanzar un ataque para hackear nuestra web. Voy a poner el caso de una web construida con Joomla, el maravilloso gestor de contenido para el que desarrollo mis extensiones.

 

Hackear sin atacar

 

La idea es muy sencilla: el atacante deja al administrador de la web que haga todo el trabajo por él.

Todos sabemos (modo irónico on) lo estupendo que es conseguir programas comerciales de forma gratuita, ¿verdad? 

Así que si queremos instalar en nuesta web Joomla una extensión de pago, sólo hemos de buscarla en internet y es posible que la consigamos de forma gratuita. Esto sucede, incluso, con extensiones gratuitas, que son descargadas desde páginas de enlaces que nada tienen que ver con las de sus creadores...

Pues bien, un hacker sólo tiene que modificar estas extensiones, incluir su "regalo" y ofrecerlas de forma gratuita a la comunidad. Sin esfuerzo, su creación será instalada por los administradores en las webs Joomla (y en otros CMS también): sólo tiene que esperar a que esto suceda!

 

La jugada se completa si incluyen sus modificaciones en extensiones que supuestamente van a proteger nuestra web. ¿Quién va a buscar malware en una extensión de ese tipo? Los administradores de las webs creen estar protegidos cuando en realidad sucede todo lo contrario...

No hemos de buscar mucho para encontrar, por ejemplo, copias de mi extensión "Securitycheck Pro":

 

 

Lo que suelen hacer los ciberdelincuentes es introducir una puerta trasera que ofrece cifrado de clave pública entre el servidor infectado y el servidor que los gestiona, se adapta al framework usado por distintos CMS (Joomla, Wordpress y Drupal) e incorpora la capacidad de actualizarse. De este modo tienen acceso directo al servidor y son capaces, incluso, de comprometer otros sistemas alojados en el mismo servidor.

 

Objetivo

 

La principal motivación de los hackers es disponer de un montón de sitios web gestionados desde un servidor (denominado Centro de Control) desde los que pueden realizar diversas acciones, aunque normalmente son usados como plataformas para inyectar malware en los navegadores de los visitantes o para conseguir enlaces ilegales, haciendo que el Pagerank de los sitios aumente (técnica que a la que se denomina Blackhat SEO).

 

El malware usado inyecta links y texto en las páginas que sirve el servidor comprometido. El contenido es inyectado sólo cuando el visitante es un motor de búsqueda (el malware chequea su user-agent y/o su nombre de host) y no un visitante humano.

De este modo, los motores de búsqueda piensan que los sitios comprometidos enlazan con las webs a las que apuntan, ganando éstas backlinks y, por tanto, incrementando su Pagerank.

 

¿Cómo evitarlo?

 

La principal recomendación para evitar estos problemas es muy sencilla: descargar las extensiones desde la página de sus autores. Para ello disponemos del JED (Joomla Extensions Directory), el directorio donde se ponen a disposición de la Comunidad más de 8000 extensiones, enlazadas cada una de ellas con la web de su autor.

 

Además de esto, también podemos realizar un chequeo de la integridad de los ficheros descargados. Si has descargado alguna vez mis extensiones, verás que cada archivo incorpora lo siguiente:

 

 

Las firmas MD5 y SHA nos garantizan la integridad de los archivos descargados. Al descargarlo, podés utilizar alguna herramienta online para comprobar que las firmas coinciden con la indicada en la web. Por ejemplo, en nuestro caso usamos la url http://onlinemd5.com/, subimos nuestro archivo y comparamos el resultado obtenido:

 

 

Como podés ver, los resultados coinciden, así que podemos estar seguros de que el fichero no ha sido modificado.

 

Un saludo.

José Luque, Main developer de Securitycheck Extensions.