Golpe de calor en el mundo de blogs e hijos de noticias ! Muchos servicios y software que permiten a los usuarios de Internet seguir muy fácilmente los artículos difundidos por los sitios de información podrían convertirse en vectores de ataques informáticos.
Preocupación por lo tanto para aquellos que usan sitios como Bloglines, Mon Yahoo!, Google Reader, Netvibes, etc. Lo mismo ocurre con los propietarios de software como Feed Demon, Alertinfo, FeedReader, RSS Owl, GreatNews, Blog Navigator, etc.
En el origen de esta fiebre, un estudio presentado por la compañía estadounidense de seguridad de TI SPI Dynamics a principios de agosto, en la conferencia Black Hat 2006.
Instrucciones escritas en JavaScript
Todas las formas de piratería son posibles: el navegador envía solicitudes a sitios comerciales sin el conocimiento del usuario de Internet; intrusión en la PC de este mismo usuario de Internet; modificación de un tablero de compras en un flujo de información financiera…
Para provocar estos ataques, primero es necesario que el hilo de noticias (en formato RSS o Atom) transmitido por el sitio se corrompa, es decir que contiene algunas líneas de código malicioso introducido por el pirata. Estas serían, por ejemplo, instrucciones escritas en JavaScript.
Ciertamente, es difícil imaginar que los hijos de noticias del periódico Le Monde o del blog de Michel-Edouard Leclerc sean voluntariamente corruptos. Pero Sam Ruby, un experto del mundo RSS, explicó en su blog ‘que uno de estos días, los hackers piratearán un sitio popular como Engadget [blog sobre novedades de alta tecnología, NDLR].
Pero en lugar de poner algo visible en el sitio, pondrán algo invisible en el hilo de las noticias ‘. Otros apuestan más simplemente por la posibilidad de insertar este código en los comentarios, estos pequeños textos que cada usuario de Internet puede dejar debajo de un artículo publicado en un blog.
La necesaria ‘limpieza’ de hilos de noticias
Segunda condición para que estos ataques sean efectivos: los dispositivos responsables de leer estos flujos deben ser vulnerables. Robert Auger, autor del estudio SPI Dynamics, basó una de sus demostraciones en el sitio de Bloglines, que en ese momento mostró algunas debilidades. «Han sido corregidos desde entonces», se dice en Bloglines.
FeedDemon inicialmente intentó minimizar el problema alegando que su software era muy insensible. James Snell, un programador emérito, desarrolló una batería de pruebas. «Feed Demon perdió un número significativo de las 1397 pruebas que desarrollé», explica en su blog.
De repente, se está preparando una actualización del software (versión 2.0.0.25, no disponible en línea al momento de escribir). RSS Owl acaba de publicar una actualización de seguridad en línea.
Los otros permanecen en silencio. Del lado de Microsoft, La amenaza también se toma muy en serio, especialmente desde que el próximo navegador de Internet Explorer 7 hace un uso intensivo del RSS. Walter Von Koch, responsable del equipo de desarrollo que trabaja en el RSS, detalla las dos medidas tomadas por la empresa y que en el blog de su equipo ?»según él ?»son suficientes para evitar el riesgo de piratería.
Primo: limpieza. Antes de mostrarse, el cable RSS se ‘limpiaría’ para eliminar todos los scripts. Segundo: la visualización del RSS funciona en un área segura que prohibiría todo acceso a la computadora del usuario.
