Archivo de la etiqueta: mac

de

Fallo (xploit) en #Java

¡Hola!

¿Cómo va todo?

El día de hoy les traigo una entrada relacionada con la «seguridad informática».

Si bien el contenido de esta será inútil dentro de algunos meses (con suerte, unas pocas semanas), me parece bastante útil el compartir esta información con ustedes.

En este momento no voy a meterme a explicar qué es Java. Sólo diré que, en este caso, todos ustedes lo utilizan a través de su navegador de internet, sea cual sea (iexplorer, Fire Fox, Chrome, Opera, Chromium, Safari, etcétera), por lo tanto, es importante lo siguiente.

Hace unos días, empezó a circular la noticia de que se había descubierto un grave fallo de seguridad en Java, que deja expuestas las computadoras, sin importar el sistema operativo que posean (Windows, Linux, OS X,…) al control remoto, dicho de otra forma menos acertada: a un hackeo.

Obviamente, las personas empezaron a alarmarse y a propagar la noticia como pólvora. Lo usual, sin informarse de qué se trata, sólo corren en círculos llenos de pánico y desactivando el java en las computadoras para no ser víctimas de un ataque.

Esta mañana, platicando con uno de mis amigos, mencioné que no hace falta hacer eso, ya que este xploit ni siquiera tiene el alcance dramático que se le está dando. Muchos de nosotros no tenemos la versión «más actual» (si se me permite la incorrecta expresión) de Java instalada.

~

[A partir de esta parte, mi estimado lector, tiene usted 2 opciones:

La primera, continuar leyendo esta entrada, con una mini-anécdota y un tema diferente (pero relacionado) a la  informática.

La segunda, saltarse hasta la parte que dice «Aquí continúa el relajo de Java» y terminar pronto la lectura.

Siéntase con la libertad de decidir]

~

(Aquí es donde viene la parte en que yo también resulto ser un ignorante paranoico y me alarmo, je je).

Total. Pasó el día, llegué a casa, me puse a jugar y perder el tiempo trabajar y hacer tareas, como cada día. En esas estaba, cuando «de la nada» empezó a descargarse «algo». Afortunadamente, estaba frente a la computadora, con el navegador abierto (Google Chrome) y vi el momento justo en que empezó a descargarse un archivo. Con menos de 2kb de peso, corrí con la suerte de poder detener la descarga.

¿Qué era?

Una cosa rara llamada «AdServerServlet».

¿Qué hace?

Ni idea.

¿De dónde salió?

No sé.

¿Con qué se come…?

Servlet

Tras meditar profundamente (durante menos de un segundo), llegué a la conclusión de que seguramente por error le di click a un anuncio de esos tan incómodos que salen en el lado derecho del facebook, ya que no estaba haciendo otra cosa (lo confieso, estaba jugando) y no tenía otra cosa abierta con enlaces, publicidad o algo similar.

Posterior a esto, recordé algo que sucedió hace poco. Mi estimada @Eritia_, tuvo problemas con su computadora recientemente. ¿Qué sucedía? Que abriese el enlace que abriese en sus navegadores, no abría lo que debía, si no que la redireccionaba (enviaba) a una página de anuncios. Tras estar haciendo pruebas, nos dimos cuenta que, en realidad, no era con todos los navegadores, si no únicamente con Google Chrome. Buscamos algunas posibles soluciones en la red, pero no encontramos nada útil. Al final la solución fue desinstalar el navegador, descargar la última versión y listo. Lo interesante es que ella no recuerda haber dado click a algo, o instalado algo que provocase eso (no, no es de las personas que instalan barritas inservibles, basta decir que la señorita es informática)

Regresando al tema: recordé el evento con el navegador y los anuncios, debido a que la parte «Ad» de nombre del archivo podía significar «anuncio». Mismo navegador, nombre similar, situación de «no recordar darle click». Demasiadas coincidencias, pero ahora tenía un nombre.

Con la curiosidad de siempre (y aprovechando que no soy un gato),  me dirigí al enlace de donde provenía la descarga.

Lo primero que vi, es que no aparecía nada en la página, porque el navegador la bloqueba como página con contenido no seguro. Decidí no avanzar más, podría ser riesgoso.

Sin embargo, me metí a la página raíz y lo único que encontré, fue esto:

Crap!

Posteriormente, se me ocurrió buscar en google ese nombre curioso «AdServerServlet». O no supe buscar, o no hay información sobre esto.

Eso sí, pude dividir en dos búsquedas distintas el archivo.

1) ¿Qué es un «AdServer»? —> Como su nombre lo dice, es un servidor de anuncios. Se encarga de servir las creatividades publicitarias y contabilizar las impresiones y clicks. Dicho de otra forma, un servidor de banners que recibe peticiones (clicks) de un banner (o anuncio) en alguna página en internet. De esta manera, se recopila información y se puede mostrar un anuncio adecuado dependiendo del tipo de usuario.

Estos AdServers se dividen en dos tipos:

a) AdServer de soporte: Permite saber cuántas impresiones y clicks llevamos, inventario vendido (o por vender) la facilidad para rotar formatos, etc; es decir, sirve para controlar la publicidad de nuestra página web.

b) AdServer de anunciante: Sirve para medir los usuarios (o el flujo de usuarios) de una campaña, con la finalidad de auditar los datos, controlar la actividad una vez que alguien da click, optimizar las campañas, etcétera.

2) ¿Qué es un «Servlet»? —> Un servlet, es un objeto que funciona (dentro y fuera) de un contenedor, permitiendo extender la funcionalidad del mismo. Su origen deriva de los «applets». Los servlets, normalmente se encargan de generar todas las páginas web de manera dinámica (a partir de los parámetros de petición que envía un navegador). Los servlets «originales» fueron creados por Sun Microsystems, en 1997 y… ¿adivinen qué?

¡Fueron desarrollados para el proceso de la comunidad JAVA!

(Justamente, esta es la parte en que mi paranoia empieza a entrar en pánico.)

¿Java?

¿¿¿JAVA???

¡¡¡JAVA!!!

Mi mente empezó de inmediato a decirme que nunca le di click a algo en el facebook, que ahora todo tenía sentido. Esto era obra del fallo de Java y era momento de tragarme mis palabras: ¡Sí somos vulnerables al xploit!

Ah, pero claro, la razón me mandó a buscar información y noticias sobre el relajo aquel…

Encontré un montón de notas y artículos al respecto, sin embargo la mayoría decían lo mismo «Urge desactivar Java, todos somos vulnerables, nadie sabe la razón, pero hay que hacerlo».

Si alguien gusta revisar personalmente las fuentes que revisé, aquí están todos los enlaces:

http://www.pcworld.com.mx/Articulos/24977.htm
http://www.vanguardia.com.mx/gravefallaenjavaexponeatodoslosusuariosaunataquehacker-1362247.html
http://www.pcworld.com.mx/Articulos/24963.htm
http://www.neoteo.com/hay-que-desactivar-java
http://www.minutouno.com/notas/260547-una-falla-seguridad-java-podria-infectar-las-computadoras
http://rtunoticias.com/index.php/mundo/ciencia-y-tecnologia/19925-cuidado-falla-en-java-pone-en-riesgo-tu-pc
http://www.pcactual.com/articulo/actualidad/noticias/11530/descubierto_grave_fallo_seguridad_java.html
http://www.adslzone.net/article9347-grave-fallo-en-java-compromete-la-seguridad-de-los-usuarios-de-windows-mac-y-linux.html
http://www.eltribuno.info/salta/195756-Una-falla-en-Java-7-expone-a-los-usuarios-a-ataques-de-hackers.note.aspx
http://www.telecinco.es/informativos/tecnologia/Descubren-seguridad-Java-infectar-Mac_0_1677432306.html

Total, después de revisar las noticias y compararlas, resulta que el adserver no tiene absolutamente qué ver con el xploit (aparentemente). Lo cual, me deja dos cosas:

1) Me dejé llevar por la paranoia, aunque valió la pena, porque me informé.

2) No sé qué demonios es eso, de dónde salió y cómo evitar que suceda. Sigo pensando que está relacionado con lo de la publicidad en el navegador de @Eritia_. Quizá con más paciencia y fuentes distintas logre descubrirlo (si alguien tiene una pista o sabe, estaría fantástico que lo compartiera en los comentarios).

Por lo menos, ese tema estaba (relativamente) zanjado. Ahora, tenía que continuar con la otra curiosidad.

[Aquí continúa el relajo de Java]

Después de leer y sintetizar la información, lo que puedo compartir con ustedes (importante/interesante) del relajo de Java es lo siguiente:

Se identificó un código que ataca a los equipos, aprovechándose del defecto en la última versión de Java. Una vez en el equipo, se libera la segunda parte del software (llamada «Poison Ivy» (Hiedra venenosa)). Esto, permite a los hackers hacerse con el control de la computadora infectada (en palabras de Jaime Blasco, director de investigación de «Alien Vault Labs»)

No importa si tu sistema operativo es Windows, OS X, o de distribución Linuxera.

Para que el equipo se infecte, no hace falta que el usuario lo note, de eso se encarga el agujero de seguridad en Java. Se dice que únicamente afecta a Java 7 (1.7) y que no corremos NINGÚN riesgo con las versiones 6 o anteriores.

AHORA, LA PARTE BONITA DEL ASUNTO.

Si para este punto, usted está pensando «Ya deja de decir tantas tonterías y mejor dime cómo prevenirlo» aquí está:

Primero que nada, entren a la siguiente página:

http://www.isjavaexploitable.com/

Ahí podrán ver si su navegador es vulnerable o no. (Si utilizan varios navegadores, habrá que revisar con cada uno de ellos).

Aquí tenemos dos opciones:
1) ¡Felicidades! Tienes una versión que no es vulnerable.

Estamos limpios.

2) Te la pelaste, estás expuesto a problemas (eso no significa que ya estés «infectado»)
Estamos sucios.
Si apareció ante ustedes el primer resultado, no hay de qué preocuparse. Pueden ustedes ir a la sección de comentarios y mandar saludos a su mamá, o poner una carita feliz, lo que prefieran.

Sin embargo, seguramente si obtuvieron el segundo resultado, querrán una solución.

¿Cómo deshabilitarlo?

Chrome, éste no ejecutará Java directamente sino que alertará con un mensaje.  Si esto no sucede, pueden abrir una nueva pestaña,  escribir (en la barra de direcciones) «chrome://plugins/» , buscar el complemento Java y desactivarlo.

Firefox: En la parte superior de la ventana de Firefox, click en Herramientas y elegir Complementos, una vez ahí, en la pestaña del Administrador de complementos, seleccione el panel Plugins. Seleccionamos el complemento Java y luego damos click en «Desactivar» (si el botón dice «Activar», significa que ya está desactivado)

Internet Explorer: Click en Herramientas y a continuación en Opciones de Internet, seleccionamos la pestaña «seguridad», luego el botón «nivel personalizado», buscamos «Automatización de los applets de Java» y damos click en «deshabilitar». Aceptamos.

Safari: Seleccione Safari > Preferencias. Haga click en Seguridad. Anule la selección Permitir Java.

Opera: (este es un poco más de lío) Ctrl+F12. Avanzado, Descargas, application/java-applet (y eliminamos todas)

A partir de aquí, pueden esperar a que aparezca una actualización de Java reparando este error de seguridad, o instalar una versión anterior. Igualmente, pueden continuar trabajando con su versión 7 y nunca ser atacados, pero eso ya lo dejo a criterio vuestro.

 

Espero que esta entrada sea de utilidad para alguno de ustedes.

Muchas gracias por leer, les mando un saludo y recuérdoles que el blog se alimenta de sus comentarios.

~ Alfred ~