Las ISP de China inyectan publicidad y malware a través de sus redes

Las-ISP-de-China-inyectan-publicidad-y-malware-a-través-de-sus-redes-1

Investigadores en seguridad israelíes han descubierto que las ISP China Telecom y China Unicom inyectan publicidad y malware en el tráfico que generan sus propias redes de datos.

Las ISP de China han instalado una cantidad importante de servidores proxy para contaminar el tráfico en las redes utilizadas por los clientes. Esto recuerda un poco a casos como Superfish, realizando ataques man-in-the-middle que inyectan malware y publicidad encubiertos en los sitios web que los usuarios visitaban.

Cuando un usuario de Internet intenta acceder a un dominio que está debajo de una de esas dos ISP chinas, los paquetes falsos redirigen el navegador web del usuario hacia rutas de red ilegítimas. Como resultado el tráfico legítimo generado por el cliente será redireccionado hacia otro sitio web o anuncios maliciosos, beneficiando a las ISP que los emplea.

¿Cómo se inyecta el malware y la publicidad?

Los investigadores han descubierto el procedimiento que las ISP utilizan para inyectar malware y publicidad ilegítimos en el tráfico que los usuarios generan, resultando ser el siguiente:

  • Inyección TPC fuera de banda: Las ISP recurren a la clonación de los paquetes de respuesta HTTP para replicar una infección. Las ISP clonan el tráfico legítimo, modifican el clon, y entonces lo envían junto a los paquetes legítimos hacia el destinatario. Esto hace que haya dos paquetes de respuesta, existiendo la posibilidad de que el paquete falsificado llegue antes que el legítimo a su destino, aunque esto también significa que el legítimo puede llegar antes que el falsificado, siendo este último descartado.
  • Inyección HTTP: Si el paquete falsificado llega antes que el legítimo, el usuario podría obtener el número de estado HTTP 302, que indica redireccionamiento, en lugar del 200 que significa que todo está correcto y no está siendo redirigido hacia una dirección no legítima.

¿Cómo identificar los paquetes falsificados?

  • Identificación de la IP: El valor de identificación de la IP contiene un contador que es incrementado secuencialmente después de que cada paquete haya sido enviado. El paquete falso regresa poco después de hacer una solicitud presentándose como uno legítimo. Pero la marca de tiempo de cada paquete tendría que ofrecer evidencia suficiente como para eliminar un paquete falso, debido a la mayor diferencia absoluta entre el valor de su identificación y el promedio de los valores de identificación medio del resto.
  • TTL (Tiempo total de vida): Cada paquete recibido contiene un valor inicial establecido por el emisor para calcular el número de saltos cubiertos por el paquete durante la transmisión. Si el paquete es recibido con un número diferente de saltos, entonces se podría establecer una barrera clara entre los paquetes legítimos y los que no lo son, debido a que el legítimo suele tener un valor de TTL mayor que el promedio de los legítmos.
  • Tiempo de análisis: La marca de tiempo del paquete capturado por los sistemas de vigilancia en la entrada a una red Edge sería una forma de comprobar si es genuino o no. Los datos de los paquetes con un tiempo corto de proximidad tendrían que ayudar a diferenciar los legítimos de los que no a través tiempos de llegada distintos.

¿Cómo mitigar esta situación?

Hay una manera sencilla de evitar esta situación, y es no confiando en ningún sitio web que no utilice HTTPS, ya que ninguno de los sitios web que inyectan contenidos ilegítimos utiliza SSL.

Las conexiones detrás de HTTP no están protegidas por el escudo de SSL, por lo que su tráfico puede ser interceptado y reemplazado o modificado por contenidos ilegítimos como publicidad o malware que no pertenecen al sitio web de origen.

Es importante mencionar que ningún usuario del mundo está inmune ante esta situación, ya que si un usuario situado en Alemania accede uno de los sitios web afectados por esta inyección de datos, también puede padecer la consecuencia de estos.

Motivos detrás de estos ataques

Al parecer los principales motivos de esta inyección de publicidad y malware tiene sobre todo propósitos económicos, con la intención de dar dinero a las ISP de China.

El país asiático es famoso por su censura, el poco o nulo cumplimiento de los Derechos Humanos y por su Gran Firewall, que intenta mantener al país aislado de contenidos “inapropiados” para su población.

No se nos puede olvidar que tanto China Telecom como China Unicom son de propiedad estatal, por lo que pensar en posibles intenciones políticas por parte del estado con estos ataques no sería nada disparatado, y no es una idea que se pueda descartar.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s