Hacking desde repositorios

por:

Continuamos con nuestra sección de Seguridad y Hacking poniendo hoy énfasis en un segmento que se considera más protegido de ataques y vulnerabilidades por estar más cualificado o especializado que el resto de los usuarios: Hablamos de los programadores.

Tendemos a menospreciar los consejos útiles y de sentido común que encontramos en esta y otras webs acerca de la protección que debemos implementar constantemente a nuestros equipos, tanto con antivirus, como con antispyware y sucedáneos porque, al fin y al cabo, esas son medidas que les deben entrar en la cabeza a los usuarios de a pie, pero a nosotros nadie nos va a decir cómo tenemos que protegernos porque estamos al día y conocemos los peligros y la forma de hacerles frente.

Pero, claro, no todo son ejecutables que se descargan de un email con procedencia extraña, o archivos de Facebook infectados… resulta que también los mejor cualificados cuentan con su propia ración de peligros inherentes y en su propio ámbito de trabajo profesional.

GitHub y similares como propagadores de malware.

La cosa es fácil de describir y, no obstante, pocos caen en la cuenta de lo sencillo que es comerse el riesgo: Estás desarrollando un proyecto y te diriges a Github para ver qué hay similar o si puedes echarle un vistazo a alguna porción de código que otro programador haya implementado para vete a saber qué uso y que a ti ahora te vendría de perlas.

Después de mirar y mirar, encuentras un par de proyectos candidatos que parecen contar con lo que a ti te falta… Esa solución con la que no habías dado, o ese trozo de código que te va a ahorrar mucho tiempo de programación porque resulta que el script ya está hecho y disponible para su descarga.

Confías plenamente en quienes están ahí. Programadores o autodidactas como tú, con un gran afán por compartir y ayudar. (Y bien es cierto que ese es el perfil del 90% de los integrantes de este tipo de plataformas). Pero, de vez en cuando, uno de esos paquetes que te descargas viene infectado.

Listo y en bandeja. Te lo has tragado. Y, además, no se te ha tratado como a un usuario sin conocimientos. Nada de haber sido infectado por la última broma viral de tal o cual personaje haciendo la tontería del año… No. Tú encontraste y te descargaste un virus de donde menos lo imaginabas: De un repositorio de profesionales del software libre.

Github como fuente de malware

La tésis doctoral que ha dado el aviso.

Se llama Nikolai Philipp Tschacher, tiene 25 años, y como parte de sus tésis doctoral, desarrolló un script sencillito que colocó en no pocos repositorios y plataformas como Github, junto a unas líneas de código que hacían de chivato y le indicarían el número de descargas del mismo y la ubicación de su código una vez ejecutado por alguien.

Quería comprobar y demostrar la vulnerabilidad de los repositorios a la hora de expandir malware, y la falta de protección y cuidado por parte de programadores, ingenieros y expertos a la hora de descargar contenidos de repositorios conocidos.

El chico se lo curró bien: Indexó su proyecto de software libre bajo nombres intencionadamente cambiados pero que confundían. Estudió el tipo de repositorios más usados y los códigos más descargados, e imitó en lo que pudo la nomenclatura de los proyectos más reclamados. (Ya sabéis, escribir «Gooogle» en lugar de «Google» y similares…)

¿El resultado?:

  • Más de 17.000 descargas de su malware.
  • Más de la mitad de las mismas, le otorgaron a su sofware permisos de administrador en los sistemas donde era ejecutado.
  • Entre los dominios inectados por su sofware de tésis doctoral, aparecieron las terminaciones «.mil» y «.gov» del Ejército y del Gobierno de los Estados Unidos respectivamente.

Para descargo del investigador (a quien esperamos que le aprueben la Tésis con Matrícula de Honor Cum Laude) hay que decir que su software, una vez infectado el equipo pertinente, no hacía nada, y se limitaba a informar al programador incauto, que su equipo podría verse afectado por descargas peligrosas procedentes de repositorios.

De modo que así están las cosas… Más ojo y más sentido común a aplicarnos todos en el día a día.

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Deja una Respuesta