Hola,
A raíz de la publicación en el ISC SANS de un interesante post sobre malvertising, quiero hacerme eco del mismo y escribir unas líneas sobre las recomendaciones que debemos tener al emplear/visualizar ficheros SWF Adobe Flash, que antiguamente, con antelación a la compra del grupo Macromedia por parte de Adobe, se conocían como ficheros Macromedia Shockwave Flash (SWF)
Curiosa la jerga de seguridad que surge siempre alrededor de las amenazas. Este fenómeno del malvertising consiste en la publicación, por parte de los atacantes, de sitios Web en los que existen reclamos publicitarios, con la finalidad de provocar un incidente de seguridad en el usuario. El ejemplo clásico podría ser la visualización de contenidos pornográficos que requieren un códec, y que el usuario instala, llevando dicho códec un payload malicioso que se instala en la máquina del afectado.
Ficheros Flash. Cuota elevada de uso + Confianza = Problemas
Los ficheros Flash gozan de confianza, ya que hasta relativamente poco tiempo, no han supuesto una fuente de problemas serios de seguridad. Además gozan de popularidad y elevadas cuotas, ya que son usados extensivamente no sólo en diseño Web, sino recientemente, en mensajería instantánea. La ecuación de la rentabilidad ante eventos de fraude masivo se cumple una vez más: siempre es directamente proporcional a la seguridad del producto, en términos de probabilidad de explotación de vulnerabilidades, y de la cuota de mercado del software potencialmente vulnerable.
Peligros usando ficheros Flash hay muchos. Quizás merezca reseña la posibilidad que existe de que los atacantes, empleando Flash ActionScript, lancen comandos en la máquina de la víctima que visualiza los contenidos flash maliciosos. Sea como fuere, hay que tener en cuenta que estos ficheros multimedia, tan aparentemente inocuos, pueden ser fuente de auténticos quebraderos de cabeza.
¿Qué pueden hacer los usuarios ante esto?
1. La primera medida es siempre válida para cualquier problema de seguridad: sentido común y responsabilidad a los mandos de un teclado, lo que se traduce en no visitar páginas de dudosa credibilidad, especialmente las vinculadas con contenidos pornográficos, aunque el usuario deberá extremar la cautela cuando emplee servicios de complementos para mensajería (avatares), juegos online, envío de postales y en general, cualquier página no conocida, o que simplemente nos inspire poca confianza, y que sin embargo tenga un fuerte gancho publicitario como consecuencia del ofrecimiento de servicios gratuítos tentadores y/o divertidos.
2. Otra medida es no abrir ficheros SWF Flash adjuntos cuando nos lleguen en el correo, salvo que tengamos la certeza absoluta de que proceden de alguien de confianza, y que ese alguien es alguien con responsabilidad y conocimiento.
3. Mantener el sistema operativo al día, no sólo en lo que a reproductores multimedia para Flash se refiere, sino a todos los programas que puedan hacer uso de estos ficheros, especialmente, los navegadores. Este punto es absolutamente crucial, ya que tener al día las actualizaciones de seguridad recomendadas por los fabricantes es siempre un factor de minoración ante riesgos de vulnerabilidad.
4. Por último, los usuarios más experimentados y curiosos, pueden analizar los ficheros Flash empleando algunas herramientas desarrolladas para tal fin. Hablamos de herramientas de descompilación, y por tanto, quizás no sea recomendables para el usuario de a pie. Algunas herramientas que recomienda el handler de SANS William Salusky son:
- SWF Intruder, un proyecto de la factoría OWASP orientado a la ejecución de pruebas de seguridad sobre ficheros Flash.
- SWFDump, parte de las SWF Tools, una colección de herramientas para manipular ficheros Flash.
- Flare, que sirve para extraer todos los scripts de un fichero Flash.
Un saludo, y buen fin de semana.
Buena recomendación. Gracias amigo.