¿Por qué Clarín puede propagar código malintencionado?
En el día de hoy hemos recibido varias preguntas relacionadas al incidente en que el sitio web del diario Clarín era detectado por Google como posible sitio dañino por propagar software malintencionado.
De hecho, durante varias horas del día de hoy, al ingresar al sitio desde Firefox o Chrome, se podía ver una pantalla roja con el susodicho mensaje (clic para agrandar):
Clarín informó a través de Twitter pero el "error" que mencionan allí no es del todo real ya que si el banner se descarga al equipo del usuario y el sitio dañino se encuentra activo (lo que en este caso aún sucede), el usuario sí puede resultar infectado. Esto no es un error, es una acción buscada e intencional por parte de un delincuente, que fue capaz de incluir el banner dañino sin que Clarín lo verifique previamente.
Google, cada vez que rastrea e indexa un sitio, verifica el contenido y los enlaces salientes de forma tal y bloquea los sitios que contienen enlaces dañinos. Si se verifica los enlaces de Clarín, aún puede constatarse que efectivamente sucede lo descripto y también se puede conocer cuales eran los sitios dañinos (clic para agrandar):
Como puede verse, en los últimos 90 días se han incluído enlaces a sitio ennykille[ELIMINADO].in y cartmanbanne[ELIMINADO].in, ambos activos y dañinos (¡NO ingrese!).
Si Google puede detectar un scripts y un sitio dañino, el dueño del sitio también debería poder hacerlo si fuera lo suficientemente responsable para que le importe la seguridad de sus usuarios.
En este caso asumo (no puedo comprobarlo) que Clarín simplemente eliminó el banner dañino desde su sitio pero esto es una acción reactiva, luego de que miles de usuarios ya habían ingresado al sitio y posiblemente pudieron ser afectados.
Sin duda, una lección que Clarín y muchos otros sitios populares deben aprender pronto.
Actualización 23:59: Fabio piensa que Google se toma demasiadas atribuciones al bloquear el sitio, lo cual podría ser utilizada para ocasionar por ejemplo un ataque de DDoS, idea que comparto en parte pero desde mi punto de vista eso no es excusa para que Clarín no tome las medidas del caso.
Cristian de la Redacción de Segu-Info
De hecho, durante varias horas del día de hoy, al ingresar al sitio desde Firefox o Chrome, se podía ver una pantalla roja con el susodicho mensaje (clic para agrandar):
¿Por qué sucedía esto y puede volver a suceder?
La razón es muy simple: uno de los sitios enlazados por Clarín, efectivamente contenía referencias a sitios dañinos que descargan malware al equipo del usuario. Es decir que un tercero, puede por ejemplo incluir publicidad dentro de cualquier sitio web popular y en dicha publicidad contener enlaces, banners o scripts dañinos, de forma tal que cualquier usuario que ingrese resultará infectado, sin saberlo. Esta práctica es muy común entre los delincuentes y recibe el nombre de Drive-by-Download y cuanto más popular sea el sitio web, más efectiva es la técnica porque resultan infectados más usuarios.Clarín informó a través de Twitter pero el "error" que mencionan allí no es del todo real ya que si el banner se descarga al equipo del usuario y el sitio dañino se encuentra activo (lo que en este caso aún sucede), el usuario sí puede resultar infectado. Esto no es un error, es una acción buscada e intencional por parte de un delincuente, que fue capaz de incluir el banner dañino sin que Clarín lo verifique previamente.
Google, cada vez que rastrea e indexa un sitio, verifica el contenido y los enlaces salientes de forma tal y bloquea los sitios que contienen enlaces dañinos. Si se verifica los enlaces de Clarín, aún puede constatarse que efectivamente sucede lo descripto y también se puede conocer cuales eran los sitios dañinos (clic para agrandar):
Como puede verse, en los últimos 90 días se han incluído enlaces a sitio ennykille[ELIMINADO].in y cartmanbanne[ELIMINADO].in, ambos activos y dañinos (¡NO ingrese!).
¿Se puede hacer algo para evitarlo?
Desde el punto de vista de quien ofrece un servicio web, efectivamente se puede comprobar que no se inserten enlaces y scripts dañinos en la página web y además cada publicidad debería ser comprobada antes de insertarla en la página.Si Google puede detectar un scripts y un sitio dañino, el dueño del sitio también debería poder hacerlo si fuera lo suficientemente responsable para que le importe la seguridad de sus usuarios.
En este caso asumo (no puedo comprobarlo) que Clarín simplemente eliminó el banner dañino desde su sitio pero esto es una acción reactiva, luego de que miles de usuarios ya habían ingresado al sitio y posiblemente pudieron ser afectados.
Sin duda, una lección que Clarín y muchos otros sitios populares deben aprender pronto.
Actualización 23:59: Fabio piensa que Google se toma demasiadas atribuciones al bloquear el sitio, lo cual podría ser utilizada para ocasionar por ejemplo un ataque de DDoS, idea que comparto en parte pero desde mi punto de vista eso no es excusa para que Clarín no tome las medidas del caso.
Cristian de la Redacción de Segu-Info
Sonamos... Los K compraron Google!!!
ResponderBorrarBalzak Stingray, comienza el ciclo "Malware para todos" en Argentina K jajajajaaj
ResponderBorrarMuy interesante y acertada la reflexion "Si Google puede detectar un scripts y un sitio dañino, el dueño del sitio también debería poder hacerlo si fuera lo suficientemente responsable para que le importe la seguridad de sus usuarios."
ResponderBorrarLos dueños de los sitios deberian ser responsables por todo su contenido y su principal interes deberia ser cuidar a quienes los visitan, independientemente si se trata de un sitio de ventas, un sitio de informacion o una web corporativa... y hasta solidariamente responsables ante la infeccion por "mala praxis" por parte de los webmasters... pero eso ya seria parte de otra discusion mucho mas amplia.