¿Hackers malvados o usuarios descuidados?

Últimamente ha habido varios ataques a sitios web sin relación entre sí. El resultado es que un código malicioso (que usualmente es una modificación de Trojan-Downloader.JS.Psyme) se coloca en el servidor en lugar del archivo index* original. De esta manera, el código se ejecuta inmediatamente cuando un usuario visita el sitio web. Durante la ejecución del código se explota alguna vulnerabilidad de Internet Explorer para la cual y existe un parche. Esto causa que el ordenador del usuario se infecte con un troyano espía. Dentro del código, los enlaces hacia el troyano por lo general (pero no siempre) hacen referencia a algún “sp.php”.

¿Cómo pueden llevarse a cabo estos ataques? Hay varias formas:

1. Un ataque en vivo de un hacker.

El gran número de casos similares reduce a cero las probabilidades de que este sea el caso.

2. Una explotación automática masiva de los servidores de Internet.

Algunos de los registros de sistemas infectados a los que he tenido acceso muestran que los códigos maliciosos se suben a la red vía FTP y usando claves de acceso FTP ya existentes. Esto significa que un hacker (sin importar qué o quién sea) ha tenido acceso a al menos unas cuantas claves de acceso del servidor. Entonces los archivos de contraseñas podrían conseguirse mediante una falla del servidor y las contraseñas podrían descifrarse, tomando en cuenta que el algoritmo MD5 no es lo más moderno en estos días. Pero esta situación no es posible, ya que según los registros de los sistemas no se han dado casos de intromisión forzada con servicios de sistemas. La única intromisión registrada es una entrada directa a FTP seguida por una subida de archivos al servidor. Tal vez algunas cosas suenen como una contradicción, pero la intromisión fue completamente legal.

Entonces, ¿cuáles son las otras situaciones de ataque posibles?

Descartando la idea de que alguien que supiera las claves las haya publicado, lo que es poco probable, la única posibilidad que queda es…

3. Robo de las contraseñas desde el ordenador de un usuario.

Lo que tengo en mente es un troyano que ataque Windows y pueda obtener las contraseñas si es ejecutado desde el equipo de Windows de un administrador de un sitio web que tenga guardadas en él las claves de acceso para FTP, por ejemplo en Total Commander. Esta teoría me parece aún más probable si pensamos por qué los códigos se encuentran donde están ahora, en servidores de sitios tan variados como desde conocidos sitios de prensa hasta sitios privados no recogidos en ningún índice. Eso no tiene lógica. Pero puede que un troyano pueda explicarlo, ya que la información de Usuarios/ contraseñas FTP es almacenada en el software del cliente FTP junto con datos de direcciones de IP.

Si el programa malicioso tiene acceso a esa información, ni siquiera tiene que enviarla. Solo tiene que iniciar una sesión FTP e infectar el servidor con un código malicioso (asumiendo, claro está, que el usuario tiene los privilegios FTP apropiados).

Estoy casi seguro de que la tercera es la respuesta correcta, aunque aún no tengo todos los datos para probarlo.

Puede que suene aburrido, pero hay una manera muy fácil de detener esta epidemia de sitios web infectados:

– parches MS actualizados,
– bases de AV actualizadas
– Un cortafuego.

Además de las típicas precauciones para evitar los virus como el no ejecutar programas sospechosos, desactivar ActiveX en el navegador, etc, etc.

Finalmente, una solución específica a este problema en particular: Evitar guardar información usuario/clave de acceso para los servicios FTP (o en general, cualquier información de usuario/clave de acceso) en clientes de Windows. La única pregunta es, ¿quién tiene una memoria lo suficientemente buena como para seguir este consejo?