A lo largo de los últimos dos años, los cibercriminales se han estado enfocando cada vez más en encontrar formas de inyectar código malicioso en páginas web legítimas. Normalmente lo que solían hacer es insertar código dentro de una parte editable de la página y utilizar dicho código para servir contenido malicioso desde otra parte de la web. Sin embargo esta actividad puede ser difícil de detectar puesto que las web cada vez usan más contenidos legítimos, como por ejemplo anuncios, videos o trozos de código, procedentes de otros sitios.

Un investigador en Websense, una firma de seguridad con sede en San Diego, acaba de desarrollar una forma de analizar este tipo de actividad maliciosa de modo automático.

Durante su intervención en la Conferencia sobre Seguridad RSA en San Francisco la semana pasada, Stephan Chenette, uno de los investigadores de seguridad principales de Websense, dio los detalles de un sistema experimental que rastrea la web, identificando la fuente de los contenidos insertados en páginas web y determinando si cualquier código en una página determinada está actuando de forma maliciosa.

El software de Chenette, llamado FireShark, crea un mapa de las páginas web interconectadas y señala aquellos contenidos que sean potencialmente maliciosos. Cada día, el software hace un mapa de las conexiones entre casi un millón de páginas web y los servidores que proveen contenidos a dichos sitios.

“Cuando haces un gráfico de varios sitios, puedes ver sus comunidades de contenidos,” señala Chenette. Aunque parte de los distribuidores de contenidos que conectan distintas comunidades podrían ser legítimos—como por ejemplo los servidores que proporcionan anuncios a muchos sitios distintos—otras fuentes de contenido podrían indicar que un atacante está sirviendo códio malicioso, señala. De acuerdo a un estudio publicado por Websense, el uso de sitios legítimos por parte de atacantes online para extender software malicioso se ha incrementado en un 225 por ciento a lo largo del último año.

Sin embargo, incluso los distribuidores legítimos pueden llegar a supone una amenaza. En septiembre, por ejemplo, el New York Times reconoció que un grupo de criminales online, enmascarados como anunciantes legítimos, habían colocado contenido en su sitio a través de una red de publicidad.

Atacar a una red de este tipo puede ser mucho más lucrativo que atacara un sitio de forma individual. “Supongamos que la seguridad del sitio es de máximo nivel. ¿Cómo puede un atacante malicioso llegar hasta el usuario?” afirma Chenette. “Una red de anuncios sería una opción adecuada.”

Los investigadores de Websense tienen planeado publicar un plug-in para el navegador Firefox que revele aquellos distribuidores de contenido a los que esté vinculado un sitio.

“Lo interesante de todo esto se produce cuando los atacantes estén usando, digamos, DoubleClick como su vector de ataque,” afirma Tom Pinckney, cofundador de la firma de seguridad web SiteAdvisor, comprada por McAfee en 2006, y actualmente vicepresidente de ingeniería para el sitio de recomendaciones Hunch. “En muchos ataques, alguien compra el contenido de la red de anuncios, pero la persona que realmente distribuye el contenido en la página—sólo Dios sabe quién es esa persona.”

SiteAdvisor ofrece un plug-in que proporciona un servicio similar al que ofrece FireShark. McAfee utilizaba un centro de datos lleno de PCs virtuales para vigilar la web a la búsqueda de sitios maliciosos, evaluando los vínculos y enviando cuentas de correo únicas que después son analizadas según el spam que reciben.

FireShark va más allá que SiteAdvisor puesto que decodifica el código HTML, Javascript y cualquier otro código incluido en cada página web que analiza, buscando las fuentes de contenido finales, incluso si están redirigidas varias veces. “FireShark proporciona una visión más en profundidad de lo que está sucediendo,” señala Chenette.

Maxim Weinstein, director ejecutivo de StopBadware, una organización sin ánimo de lucro que ayuda a crear listas de páginas web maliciosas, afirma que FireShark podría ser una herramienta interesante para los investigadores. La advertencia reside, según señala, en que los comportamientos anómalos no siempre son maliciosos. “Los patrones que parecen malos a menudo son buenos—simplemente son anómalos,” señala.

El seguimiento del modo en que los sitios se conectan a lo largo del tiempo también podría ayudar a identificar cambios maliciosos en dichos sitios, señala Chenette. Añade que el plug-in para el navegador FireShark podría finalmente permitir a los usuarios proporcionar a Websense información sobre los sitios que visitan.