m313 Security Blog

El Pump & dump no es una nueva técnica de estafa. Es una versión refinada del spam que consiste en que el calado de una información falsa proporcione beneficios a quién la difunde o sabe aprovecharse de ella. Un ejemplo básico serían los correos de spam que circulan con las leyendas urbanas sobre la CocaCola (no he dicho que los difunda la competencia).

Recientemente he vuelto a tener noticias de esta modalidad de estafa debido a un par de noticias publicadas en el blog de s21sec y en Eweek.

Apliquemos una idea un poco más maliciosa y refinada y pensemos en un medio de comunicación. Muchos de los actos de inversores están basados en las noticias que los medios proporcionan. Las noticias publicadas por los medios conocidos o de prestigio tienen un gran efecto en la red. Tras una noticia publicada son cientos las páginas y pequeños medios que copian estas noticias y las reescriben en sus respectivos medios.

La idea maliciosa viene a continuación: imaginemos que un fallo de seguridad permite que sean publicadas noticias arbitrarias. Rápidamente estas noticias tendrán su calado en multitud de medios y permitiran al atacante beneficiarse, por ejemplo mediante la compra de acciones.
Como veremos en el documento que realizé hace algún tiempo no es necesario un enrevesado fallo de seguridad en los medios, simplemente son necesarios un Cross Site Scripting (XSS) y un poco de ingeniería social para su difusión.

El documento que escribí detalla ejemplos concretos de dos fallos de seguridad que descubrí que permitían hacer esto, en medios de comunicación de sector de TI (Eweek y Network World). Si estáis interesados podéis descargarlos:

Documento en castellano
Documento en inglés

Las vulnerabilidades detectadas fueron notificadas y resueltas antes de la publicación del documento.

Compártelo

Las vulnerabilidades por Cross Site Scripting (XSS) son importantes. Sucede sin embargo que en muchos foros estos fallos son menospreciados e infravalorados.
Hay muchas maneras de aprovecharse de este tipo de vulnerabilidades: deface’s, robo de cookies, ejecución de código, etc.

En este documento vamos a centrarnos en una nueva posibilidad a explotar que apenas ha sido comentada hasta la fecha. Se trata de aprovechar este tipo de vulnerabilidades en medios informativos y montar una infraestructura necesaria para publicar noticias falsas aparentemente ciertas y difundirlas con velocidad para sacar partido de las mismas obteniendo un beneficio económico a través de la venta de acciones en bolsa.
La única referencia al respecto que he conocido ha sido durante la realización de este documento y data de Marzo de este mismo año:

http://archives.neohapsis.com/archives/fulldisclosure/2008-04/0001.html

Realizaremos una prueba de concepto utilizando vulnerabilidades reales encontradas en los medios informativos Eweek y NetworkWorld.

Para llevar a cabo las pruebas crearemos un par de noticias falsas y las difundiremos de manera que las víctimas tomen estas noticias por ciertas al aparentemente provenir de los medios antes citados. La difusión de estas noticias provocan asímismo que las acciones de las empresas implicadas por la noticia varíen de valor. Anticipando este movimiento provocado (y controlado) nos beneficiaremos económicamente a través de la venta de acciones.

Las vulnerabilidades utilizadas en este documento son reales y han sido notificadas a los medios implicados antes de la publicación de este documento.

El documento puede descargarse desde la siguientes URL’s:

XSS en medios de comunicación - en castellano
XSS in media comunication - en inglés

Agradecimientos:

Vicente Aceituno. Por la traducción en inglés del documento y por la idea inicial, porque la misma surgió en una conversación y no sabría decir si fue mia, suya o de ambos.

Compártelo