Una nueva función de medición de tiempo en HTML5 puede ser explotada por sitios malignos para apropiarse de información presentada en las páginas abiertas en el navegador. La charla fue presentada en Black Hat.

Expertos en seguridad informática de la empresa Context Information Security han logrado en pruebas de laboratorio extraer información confidencial de sitios web al analizar la velocidad con que los elementos CSS y gráficos SVG son generados en pantalla.

Paul Stone, analista jefe en Context declaró a la publicación The Register que la información sobre tiempo transcurrido, que puede alcanzar una precisión cercana a las millonésimas de segundo, permite determinar el color de pixeles de páginas malignas, y así reconstruir palabras y números, aparte de datos de navegación.

La función de medición de tiempo fue diseñada con el objetivo de facilitar la transición a animaciones en páginas web, y puede ser utilizada para calcular e tiempo que toma redibujar parte, o todo, el contenido de una página abierta.

Los expertos de Context crearon un procedimiento basado en JavaScript mediante el cual se aplican filtros a una página abierta, pudiendo así medir el tiempo exacto que toma presentar algunos de sus elementos. Al contar con esa información es posible determinar qué píxeles han sido activados y así identificar patrones como texto y números.

En un documento explicativo [PDF], Stone escribe que la nueva API de HTML5, "requestAnimationFrame", puede cronometrar las operaciones de visualización del navegador, e inferir datos midiendo el tiempo que toma generarlos. Instalando el JavaScript en un sitio maligno, intrusos podrían en teoría robar información al usuario.

Cabe señalar que el ataque en cuestión sólo ha funcionado en el ámbito controlado de un laboratorio, y los propios autores del informe acotan que sería un reto implementarlo eficazmente en el ciberespacio.

Con todo, recuerdan que las técnicas básicas descritas en su informe inevitablemente serán mejoradas para incrementar su velocidad, eficacia y aplicaciones reales.

Context comunicó sus conclusiones a Google, Microsoft y Mozilla Foundation. Las tres empresas estarían investigando el tema e intentando crear una protección que impida estos ataques, por ahora teóricos. Por el momento los desarrolladores puede evitar el ataque a través del Header HTTP X-Frame, la misma que se utiliza para evitar ataques de Click-Jacking.

X-Frame-Options: Deny

Los investigadores de seguridad informática Charlie Miller y Christopher Valasek revelaron métodos que descubrieron para hackear las computadoras de automóviles y obtener control de la dirección, aceleración, frenos y otras funciones importantes.

Miller, ingeniero de seguridad en Twitter, y Valasek, director de inteligencia de Seguridad en IOActive, investigaron durante 10 meses hasta que lograron irrumpir en la red de sistemas informáticos integrados, llamados unidades de control electrónico (ECU, por sus siglas en inglés), utilizados en coches modernos.

Los investigadores conectaron una laptop al sistema de comunicación de la ECU y enviaron códigos maliciosos al sistema de dos automóviles, un Toyota Prius y una Ford Escape, ambos modelo 2010.

Mediante esto, descubrieron que podían desactivar los frenos mientras el vehículo estaba en marcha, mover el volante, ajustar la aceleración y hasta dañar el motor, soltar el cinturón de seguridad, mostrar información falsa para engañar al contador y medidor de combustible, encender y apagar las luces del vehículo, así como activar el claxon.

Los investigadores también encontraron una manera de hacer ataques persistentes al cambiar el firmware de la ECU para enviar las señales equivocadas, incluso cuando no se está conectado físicamente a las unidades de control.

De acuerdo con la agencia de noticias IDG News Service, se entregó a los fabricantes Ford y Toyota, un documento que explica cómo se realizó el hackeo al sistema de estos vehículos.

Toyota dijo que esto no era un truco y que los esfuerzos de la compañía en materia de seguridad se han centrado en la prevención de ataques a distancia o fuera el coche, no los relacionados con el sistema de control de acceso físico.

De acuerdo con los investigadores, no hay ninguna diferencia entre un acceso local o remoto, ya que acceder a la ECU abre la puerta a toda la red y permite dar cualquier comando.

“Queremos que otros investigadores trabajen en esto, en otros coches o en los mismos autos”, dijo Miller. “Nos tomó 10 meses hacer este proyecto, pero si tuviéramos las herramientas que tenemos ahora, lo habríamos hecho en dos”.

Seguimos cubriendo la BlackHat , evento de seguridad desarrollado en Las Vegas, y continuamos sorprendiéndonos por las charlas que allí se imparten. Ayer tuvimos la oportunidad de escuchar la presentación “Million Browser Botnet” brindada por Jeremiah Grossman y Matt Johansen. A lo largo de la misma explicaron y demostraron cómo de manera muy sencilla podían armar una botnet que utilizara navegadores web como clientes y publicidades online como medio de propagación. De esta manera fueron capaces de controlar virtualmente millones de clientes en una cuestión de horas.

Million browser botnet

Los disertantes abrieron la charla diciendo que podían forzar “nuestros” navegadores a hacer cualquier cosa, incluso sin recurrir al uso de Java. Para esto, demostraron como con un pequeño script en HTML5 podían forzar a un navegador a conectarse a un sitio realizar la máxima cantidad de conexiones simultaneas permitidas, 6 en promedio (dependiendo del navegador). Pero esta cantidad de conexiones no eran suficientes para ellos, por lo que demostraron como podían subir ese valor por medio de solicitudes FTP, saltando de 6 conexiones concurrentes a más de 250.

Luego, se enfocaron en la propagación de la amenaza, para lo cual mencionaron : “La mejor forma de inyectar código es comprando un espacio de publicidad online“. Es así como demostraron que por solo algunos pocos dolares (menos de 50) podían comprar un espacio de publicidad por un determinado tiempo. Para sobrepasar los controles del código por parte de la entidad utilizada simplemente colocaron un IFRAME (referencia a otro sitio) el cuál apuntara a un sitio que ellos gestionaran de manera de poder cambiar el contenido luego de aprobada la publicidad.

Con la publicidad armada, el código preparado y el monitoreo de los servicios activos comenzaron a medir el impacto de esta infraestructura a medida que los usuarios hacían clic en la tentadora promoción. En tan solo 35 minutos, ya habían logrado más de 100.000 accesos. Luego, modificando el script para que utilice solicitudes FTP y al termino de 8.5 horas, habían logrado más de 4.000.000 de accesos y un total de 114,7 GB de tráfico, como pueden observar a continuación:

Million Browser botnet

Esto claramente generó que su servidor web se cayera por no poder procesar tantas solicitudes simultaneas, generándose así lo que se conoce en el ambiente como un DDOS (Ataque de denegación de servicio distribuido).

Este se puede considerar el climax de la presentación, el público estalló en aplausos. Sin embargo, los presentadores aún tenían un as bajo la manga. Mencionaron que ciertas plataformas licenciadas de gestión de publicidades (estas pueden ser descargadas directamente al servidor web) poseían vulnerabilidades que permitían modificar las publicidades, reduciendo todo el procedimiento antes mencionado a la explotación del servidor y a la inyección del IFRAME malicioso.

Para concluir, recomendaron la utilización de herramientas de bloqueo de publicidades y dejaron una pregunta abierta al publico: “¿Quién es responsable de esto? ¿Los browsers, los servidores, los servicios de publicidad?“. Si bien este tipo de ataques no son algo nuevo, es notable que permanezcan 100% funcionales y no se hayan observado cambios en los sistemas para remediarlos o prevenirlos.

Sigan pendientes a este blog o a la cuenta de Twitter de ESET Latinoamérica para mantenerse informados de las principales novedades de los congresos de seguridad más importantes del mundo.