Detección de intrusiones en aplicativos online de criptomonedas: malware en alojamientos web

Detección de intrusiones en aplicativos online de criptomonedas: malware en alojamientos web

Tiempo de lectura estimado: 6 minutos


Esta conferencia magistral de C1b3rWall Academy 2021 pertenece a la sección 4, "Debatiendo sobre las criptomonedas". Cada vez están surgiendo más iniciativas en las que distintas personas, empresas y grupos montan su propia web para gestionar carteras online. En algunos proyectos incluyen su alojamiento HW de la cartera y en otros sencillamente subcontratan el mismo, ofreciendo únicamente una plataforma web basada en PHP a los usuarios para manejar su cartera. Estas plataformas son un objetivo deseado por los ciberdelincuentes. En muchos casos, como gestores de plataformas online, dichas plataformas han sido víctimas de un hackeo y se desconoce el método utilizado y si seguimos hackeados. Es este punto en el que se centra la ponencia para observar técnicas y métodos de detección para evitar dichos sucesos.

Funcionamiento de servicios y seguridad

Con el auge de las criptomonedas están surgiendo iniciativas en las que se trabaja con plataformas de trading, wallet, intercambio de criptomonedas... Todas ellas se almacenan en distintos aplicativos en la web. Un ejemplo es el alojamiento de servicios web de la Universidad de Salamanca, donde solicitan alojamientos distintas personas de la institución (personal PAS e investigador), casi todas ellas sin conocimientos técnicos, pero la facilidad para instalar aplicativos web permite que también puedan hacerlo.

Respecto a la seguridad de estos sitios, el mayor inconveniente es que todos comparten el entorno, por lo que un pequeño incidente puede afectar a todos los servicios web. Otros problemas derivan de la falta de conocimientos técnicos de páginas web del personal que solicita los servicios, el desconocimiento de los permisos, falta de seguridad en autenticación, nula actualización de versiones, etc. 

Ataques a los sitios web

Los ataques han evolucionado. En los 90, la mayoría eran contra los sistemas operativos para obtener información; en los 2000, lo más común eran ataques a redes; desde 2010, los ataques estaban dirigidos a sitios web. Actualmente, los ataques se dirigen a las finanzas (phishing en finanzas, robo de credenciales, ataques DDoS). 

Podemos diferenciar entre ataques visibles o invisibles:

  • Visibles: son típicos y vistosos. Algunos ejemplos son la ejecución de redirecciones, ataques a objetivos DDoS o ataques a páginas de phishing para el robo de credenciales.
  • Invisibles: es donde reside el verdadero problema. Son de distintos tipos: distribuir payloads, robar información, minar criptomonedas... 

El ataque se realiza tratando de modificar o de instalar en los scripts el código malicioso. Para ello utilizan ficheros como los .htaccess, modifican ficheros PHP, etc. También existen nuevos métodos de ataque, que normalmente tratan de insertar el código en, por ejemplo, encabezados de ficheros JPG o PDF. 

¿Cómo prevenimos y comprobamos que no tenemos malware en ficheros?

La comprobación se realiza mediante el análisis de los ficheros, que generalmente utilizan un código ofuscado. Para prevenir, es importante tener una plataforma que tenga garantías y certificaciones de cara a nuestro alojamiento web. Además, existen otros elementos como los firewall de aplicaciones web que ayudan tratando de detectar operaciones ilegales o dudosas. También se puede limitar el ancho de banda de la aplicación web, lo que ayuda en casos de spam, PortScan...

¿Qué sabemos de los atacantes?

  • Qué buscan.
  • Cómo entran.
  • Qué infectan.
  • Con qué lo infectan.
  • Cómo detectarlo.

Necesitamos herramientas para detectar los agujeros de seguridad y herramientas de paquetes del OWASP. También es de vital importancia el uso de las herramientas correctas y admitidas para un posible procedimiento judicial, para ser capaces de utilizarlas como prueba.


Autor: Juan Antonio González Ramos

Desde 1996, Juan Antonio es programador de los Servicios Informáticos de la Universidad de Salamanca, ocupando los cargos de Webmaster de la Organización (2000-2005), responsable de alojamiento de sitios web (2005-2010) y responsable de la Unidad de Sistemas (2010-2020). Actualmente ejerce como analista de datos de marketing en el Servicio de Innovación de la Universidad. También colabora en la docencia de diversos másteres de la Universidad de Salamanca (Desarrollo Comunitario en Nuevas Tecnologías, Servicios de Información y Desarrollo, Información Juvenil). Además, es asesor en el programa Próxim@ de Castilla y León para la distribución de Centros Tecnológicos.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/