(Por El Microsaurio) Después de una semana de terribles titulares, verificamos que la Internet sigue funcionando, el descuido de algunos cientos de miles de administradores de websites sigue perjudicándonos, y el clic fácil está a la orden del día. Lizamoon no es un virus, sólo quiere tu número de tarjeta (si sos tan amable como para escribírselo). Acomodate en el sillón que te cuento…

Ah, los titulares… “Un millón de sites afectados… la infección del virus Lizamoon se extiende… “ Me recordó algo que aprendí de la más directa forma. Hace unos cuarenta años (mi oficio era vivir con una cámara al hombro) fotografié un choque en el cual un auto quedó debajo de un colectivo. Llamé a determinada persona en la sección fotografía de cierto diario para ofrecerle las fotos. Entusiasmado, me dijo “¡bárbaro, tomate un taxi, dale! (duda) a ver… ¿hay muertos? (respuesta: no) ah, bueno, entonces vení tranquilo, para el cierre todavía falta…” La foto se publicó, pero en página interior; mi interlocutor pensaba en foto de tapa y titular cuerpo catástrofe. Afortunadamente, no pude darle el gusto.
En este caso, el tema es así:
En la última semana de marzo la empresa Websense detectó que en algunos sites que usaban Microsoft SQL Server se había inyectado un script que contenía una redirección. En criollo, quien visitara esa web sería redirigido a otra página, en otro servidor. En el nuevo website se le informaba mediante terroríficos carteles que su máquina estaba infectada (¿otra vez sopa?) Luego se le ofrecía la solución: instalar el magnífico Windows Stability Center por una módica suma (Sí, otra vez sopa).
La mayoría de los antivirus comerciales a esta altura ya estarían frenando el proceso, o lo harían cuando el malware bajara a la PC.
Para el lunes pasado en el Internet Storm Center se señalaba que en unos 500.000 websites se habría inyectado ese código, y se estimaba que podrían llegar a un millón.
El nombre, “lizamoon”, se lo dieron los analistas de Websense cuando detectaron que así se llamaba uno de los primeros sitios afectados. La cantidad de servidores infectados indica claramente una operación comercial, ejecutada a escala industrial, con propósitos de ganancia económica. No me vengan a esta altura del partido a hablar de hackers o de virus. Plata. Money. ¿Estamos?
¿Este problema surge por una falla en software de Microsoft? No, para nada. Este tema es viejo, tanto que en abril de 2008 comentamos que a raíz de algo similar, había unos 500.000 websites afectados por un ataque masivo. Y que no era una falla de la base de datos, sino del software que toma un texto escrito en una página web, no lo revisa buscando malas intenciones, y se lo pasa directamente (en el caso actual) al SQL Server. Otra vez, tres años después, una aplicación web desprolijamente escrita ocasiona un desastre. En muchos de los sites se usaba algo programado en PHP.
La monona imagen de ahí abajo es cortesía involuntaria de Websense.com, los que cantaron pri con el descubrimiento de la semana pasada. Pero hay por lo menos dos falsos antivirus más, con diferente nombre, relacionados con este tema. Los chorros estos son muy prolijos.


En fin, nada nuevo bajo el sol. Ahora… vos que tenés una web con PHP y una base de datos… ¿consultaste con alguien si el formulario ese donde te dejan los datos de usuarios nuevos está verificado contra inyecciones de código? Digo… es un decir, nomás.
(Nota de RDG: Menos mal que la base de datos de Tecnozona *no* es SQL Server…)

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.