• Tweet

Los ataques de cross-site scripting han sido utilizados por años, y ha sido una de las técnicas favoritas de atacantes principiantes que buscan robar algunas cookies o modificar páginas web en su tiempo libre. Pero hasta ahora los investigadores en seguridad no habían puesto mucha atención a estos ataques porque se pensaba que ofrecían una baja probabilidad de causar daño real en los equipos objetivo.

Un investigador, sin embargo, ha probado que las vulnerabilidades de XSS pueden ser utilizadas en toda clase de ataques interesantes, después de todo. Billy Hoffman, de la empresa SPI Dynamics con base en Atlanta, ha desarrollado una herramienta llamada Jikto que puede usar XSS y Javascript para crear botnets distribuidas sin interacción del usuario. Hoffman planea presentar su herramienta y el código fuente en el congreso Shmoocon de Washington.

Jikto trabaja explotando una vulnerabilidad en XSS de algún sitio web y después se instala silenciosamente en la computadora personal de algún usuario. Después puede operar en dos formas. En el primero, Jikto revisa un sitio web específico, de la misma forma que lo haría un escaner web, buscando vulnerabilidades, como XSS o inyección SQL. En el segundo modo, Jikto reporta su dirección IP al atacante que lo instaló y espera instrucciones del controlador.

El controlador maestro de Jikto permite mantener un registro de los equipos infectados que están en línea en cualquier momento, permitiendo al atacante esperar a que una PC se encuentre "en espera" para enviarle instrucciones al bot. Esto podría permitirle al atacante evitar que el usuario del equipo infectado se percate de su presencia. Todo esto se realiza en Javascript exclusivamente ayudado de nuevas aplicaciones desarrolladas en AJAX durante el último año.

JavaScript, por naturaleza, tiene la habilidad de ejecutarse a si mismo y de modificarse "al vuelo", volviendo ineficientes los mecanismos de detección tradicionales de código malicioso, por lo cual no sería fácil defenderse de Jikto y otras amenazas.

Es prácticamente imposible para los creadores de antivirus generar una firma de detección de Javascript porque no pueden identificar si el código es "bueno" o "malo".

Hoffman ha estado investigando en el área de javascript por mucho tiempo. Recientemente dió una presentación sobre este tópico en la conferencia de RSA y en el Shmoocon profundizará al respecto.