Noticias del Mundo

Una controvertida herramienta llega a miles de sitios web pirateados

Caceres admite libremente que los piratas informáticos malintencionados podrían usar PunkSpider para identificar sitios web para piratería. Pero argumenta que siempre ha habido escáneres que encuentran vulnerabilidades web. Esto solo hace públicos los resultados. «Sabes que tus clientes pueden verlo, tus inversores pueden verlo, así que vas a arreglar esta mierda rápidamente», dice Caceres.

toma dos

Defcon-Talk de Cáceres y Hopper marca la segunda encarnación de PunkSpider. La idea de la herramienta surgió hace una década, en el verano de 2011, cuando el colectivo de hackers Anonymous y su grupo disidente LulzSec se encontraron en medio de una manía por el robo de datos y la desfiguración, que fue posible en gran medida gracias a simples vulnerabilidades web. («¿Por qué hay inyección SQL en todas partes?», Era el estribillo de una canción de hip-hop tributo a LulzSec)

En aquel entonces, Cáceres descubrió que incluso los piratas informáticos relativamente inexpertos no parecían tener problemas para encontrar una preponderancia de errores web. Comenzó a preguntarse si la única solución sería descubrir todos los agujeros de seguridad en la web en una limpieza masiva. Así que comenzó a desarrollar PunkSpider en 2012 para hacer precisamente eso; lo presentó a principios de 2013 en la conferencia de piratería Shmoocon. Su pequeña empresa de I + D Hyperion Gray también ha recibido fondos de Darpa.

Sin embargo, el proyecto enfrentó desafíos desde el principio. La audiencia de Shmoocon preguntó si Cáceres activó a los piratas informáticos de sombrero negro, en violación de la ley sobre fraude y abuso informáticos. Pronto, Amazon lo arrancó repetidamente de las cuentas de Amazon Web Services que usaba para ejecutar el motor de búsqueda después de recibir informes de abuso de administradores web enojados. Se vio obligado a seguir creando nuevas cuentas de grabación para que siguiera funcionando.

Hasta 2015, Cáceres solo buscaba en Internet una vez al año en busca de nuevas vulnerabilidades. Estaba luchando por mantener a PunkSpider en línea y cubrir sus gastos. Poco después, dejó que el proyecto cayera en mal estado.

Artículo Recomendado:  Las especies de dinosaurios encontradas en Australia eran más largas que una cancha de baloncesto

Sin embargo, a principios de este año, QOMPLX adquirió Hyperion Gray, y la startup más grande acordó revivir una versión nueva y mejorada de su motor de búsqueda de piratería web. Ahora, Cáceres y Hopper dicen que los escaneos de su herramienta renovada están respaldados por un grupo basado en la nube de cientos de máquinas capaces de escanear cientos de millones de sitios web por día y actualizar continuamente los resultados de toda la web o URL de destino para escanear una solicitud de usuario. Las exploraciones anuales de toda la web realizadas por el viejo PunkSpider tardaron casi una semana.

Cáceres se negó a nombrar a su proveedor de alojamiento actual, pero dijo que había llegado a un acuerdo con la compañía sobre las motivaciones de PunkSpider, que espera que sus cuentas no sean prohibidas nuevamente. También, aunque de mala gana, agregó una función que permitiría a los administradores web detectar las sondas de PunkSpider basadas en el agente de usuario que ayuda a identificar a los visitantes de un sitio web y una dirección de correo electrónico y optar por no participar Característica agregada que permite que los sitios web se eliminen de las búsquedas de herramientas . «Para ser honesto, no estoy contento con eso», dice Cáceres. “No me gusta la idea de que la gente pueda salir de los problemas de seguridad y enterrar la cabeza en la arena. Pero es una cuestión de sostenibilidad y equilibrio «.

PunkSpiders Web

La versión reencarnada de PunkSpider ya ha expuesto errores reales en grandes sitios web. Cáceres mostró capturas de pantalla WIRED que muestran vulnerabilidades de scripting entre sitios en Kickstarter.com y LendingTree.com. En el caso de LendingTree, Caceres dice que la vulnerabilidad podría usarse para crear enlaces que, si se engaña a hacer clic en ellos, alojan malware en el sitio o muestran mensajes de phishing en el propio sitio de LendingTree. El error de Kickstarter, dijo Caceres, permitiría a los piratas informáticos crear un enlace que, si una víctima hace clic en él, podría mostrar mensajes de phishing de manera similar o realizar automáticamente un pago desde su tarjeta de crédito a un proyecto de Kickstarter.

Artículo Recomendado:  Cotizaciones de OPI lentas en Asia –

«LendingTree emplea múltiples niveles de control para proteger nuestro sitio web y la confidencialidad e integridad de los datos del consumidor», dijo la compañía en un comunicado. “Esto incluye firewalls para aplicaciones web, pruebas de penetración externas y revisiones de código estático / dinámico para identificar y corregir puntos débiles. Además, tomamos muy en serio todas las vulnerabilidades de seguridad reportadas e investigamos y solucionamos cualquier problema encontrado rápidamente ”. KickStarter escribió en un correo electrónico a WIRED que está“ abordando activamente ”su error web.

.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba