Mozilla y los plugins con malware

Hola,

Ahora sí, ahora no. No voy a entrar en este triste asunto de los dichos y desmentidos porque no es el que quiero tratar, si bien esto podría significar el enésimo caso que presenciamos en Internet de donde se lanzan las campanas al vuelo sin tener toda la información en la mano y luego, consecuentemente, se termina metiendo la pata hasta la oreja. Todos los que escribimos podemos incurrir en estos errores, pero parece que no terminamos de aprender que para dar nuestra opinión es conveniente tener en la mano todos los datos, y que las prisas a la hora de vertir opinión no son buenas consejeras.

Hace unos días se determinó que dos de las extensiones existentes en el repositorio AMO (Mozilla Add-ons) de Mozilla, la versión 4.0 de Sothink Web Video Downloader y Master Filer en todas sus versiones, contenían malware. Al final resulta que no, que aunque es cierto que se han detectado indicios confirmados de contaminación en Master Filer, no había problema alguno con Sothink Web Video Downloader. Bien. Ambas vuelven a estar disponibles sin (según Mozilla) riesgos para el usuario.

Hasta aquí poco más. Un incidente, una respuesta ante el incidente, una solución y una comunicación. Pero a la vista de los hechos, no puedo conformarme con darle una palmada en la espalda a Mozilla por su investigación. Creo que es sensato recomendar a todos los usuarios que sean incapaces de analizar el código de las extensiones (las XPI son tristes ficheros comprimidos con contenidos en texto plano) y a todos aquellos que sean incapaces de establecer niveles y fuentes de confianza para las extensiones que utilizan, que no usen extensiones de Firefox. También sería sensato recordar que podemos llenar Mozilla de extensiones, y sin embargo reservar el uso del mismo a todo aquello que no conlleve actividad sensible (banca a distancia, trámites en línea, etc.). ¿Te priva alguien de usar Firefox para tu día a día, y sin embargo tener una instalación limpia de otro navegador con baja incidencia de malware para entrar en tu banco? ¿Te impide alguien dejar la instalación de Firefox tal y como está sin incurrir en instalación de addons? Hay muchas soluciones para diversificar el riesgo, y todos los navegadores son vulnerables, con lo que mal haremos si convertimos Firefox en un huerto de extensiones de las que no tenemos ni la más remota idea sobre su fiabilidad y trayectoria.

Me duele tener que decirlo, pero que haya malware en las extensiones es INTOLERABLE. No sólo por el hecho de que no es la primera vez que pasa, ya que todos recordaremos los tristes acontecimientos acaecidos en 2008 cuando se distribuyó un fichero de lenguaje vietnamita con regalito sorpresa, sino porque estos acontecimientos minan la confianza de los usuarios en algo tan crítico como la herramienta que usamos para acceder a la Red. En este caso en particular, hechos como el sucedido generan dudas más que lógicas sobre los procesos de calidad que Mozilla aplica a las extensiones que luego distribuye, procesos que a la vista de lo ocurrido, no parecen los mejores y que a mí no terminan de inspirarme confianza por muy buenas intenciones que tenga el equipo de desarrollo al completo.

Podemos evocar trescientos mil argumentos para justificar que no pasa nada porque se cuele malware de vez en cuando en los complementos de Firefox. Que si es gratis, que si es software libre, que si somos una comunidad cojonuda y aquí hacemos lo que podemos, y todo lo que queráis, pero a mí ningún argumento me convence. Podría entender que a Mozilla le colasen binarios infectados empaquetados a mala leche y ofuscados hasta la saciedad, y que porque no haya gente que haga reverse engineering decente les metan un gol. Puedo entender que tras una intrusión coloquen binarios modificados en los servidores de descarga y que durante un tiempo pasen inadvertidos. Pero con las extensiones, no, lo siento pero no. Si no tienes medios para analizarlas como es debido para asegurar el máximo nivel de calidad, no las sirvas. Y si quieres servirlas traslada a los usuarios de una manera CLARA que que el riesgo de infección por adulteración de las mismas existe, que hay que tener una mínima consciencia de la procedencia y naturalez de lo que se instala, y que cada cual elija si instalar o no.

Hagamos lo posible por que los usuarios asemejen los repositorios de Mozilla a cualquier otro de software. Es lo mismo bajarse una extensión que un programa freeware de la página de un desarrollador cualquiera, ya que el riesgo de contaminación siempre estará presente, con lo que creo interesante trasladar a los usuarios que Mozilla.com no es un Olimpo donde nunca ocurre nada, y que como cualquier otra fuente de software, las incidencias pueden ocurrir y están a la orden del día. Nadie está a salvo.

Es obvio que a tenor de los casos documentados el riesgo es pequeño, ya que son casos puntuales, pero eso no es óbice para no dejar claro que instalar extensiones de Firefox adulteradas puede conllevar a la contaminación de equipos. Esto es un hecho, y en vez de perder el tiempo en rebatirlo con tonterías sobre idílicas comunidades, quizás deberíamos perderlo en explicarle al usuario que hay maneras de analizar lo que se utiliza, y que si no se sabe o no se tienen medios para el análisis técnico, hay que aprender establecer nuestros niveles de confianza, basándonos en la opinión de otros usuarios, en la de conocidos y allegados con nociones y experiencia superiores a las nuestras, en los antecedentes, en la trayectoria de los desarrolladores, en los procesos de calidad que se ejecuten, en la opinión experta de analistas y en un sinfín de parámetros. Y si con todo eso no somos capaces o albergamos dudas, señores, lo que hay que hacer es no usar ese software y buscar una alternativa de la que sí podamos fiarnos. Es así de simple. Tarde o temprano nos acabaremos fiando porque no nos queda más remedio (no es sensato ni productivo analizar todo lo que ejecutamos), así que pongamos la carne en el asador para ver cuál es la mejor manera de poder fiarnos incurriendo en los mínimos riesgos posibles.

Un saludo,

10 comentarios sobre “Mozilla y los plugins con malware

  1. Sergio me surge una duda:

    Yo soy un usuario y me he inclinado por Mozilla porque en la web se habla muy bien del mismo y muy mal de IE8, pero finalmente, para un usuario como yo, sin los concimientos tecnicos debidos, ¿en qué explorador debo confiar?. Ya hay varias opciones a diferencia de antes.

    Realmente no tengo el tiempo ni los conocimientos para probar el código de uno u otro navegador. ¿cuáles serían las pautas para escoger el mejor o el mas seguro?

    Gracias.

  2. La verdad, estoy de acuerdo con algunos de los comentarios de la nota, pero vieron como es esto después te toca uno de esos como el maligno que su trabajo es escribir en un blog y te habla maravillas de lo que le mas le conviene. Entonces la gente no técnica no tiene un verdadero punto de referencia y comparación.

    Así lo veo yo

    Saludos

  3. Ja,ja,ja. Parce que todos me esperan por aquí… Se ha convertido en mi segunda casa.

    @Anónimo, porque IE8 y bla,bla,bla.

    @Oscar Luengas, cuidado con quién te recomienda cosas que los hay muy partidistas ;) Si tienes Windows Vista o Windows 7 yo te recomiento IE8, pero tú sabras a quién creer.

    http://elladodelmal.blogspot.com/2009/12/hundir-la-flota.html

    @Dead, la verdad que ese no es mi trabajo. Lo del blog es por pura pasión. Yo me dedico a seguridad informática: auditorías, investigación, publicación, desarrollo de soluciones, etc… es un trabajo muy apasionante… que además me deja tiempo para escribir en el blog. Procuro dar información técnica, si me equivoco… ¡corrígeme!. };)

    @Sergio Hernando, en este artículo, con mucha prudencia y reflexión se te ha visto «dolido», cosa que no te se te ha visto en los fallos de IE8 para nada. Las cosas son así.

    Cuando dices lo de las extensiones, eso de :

    «es sensato recomendar a todos los usuarios que sean incapaces de analizar el código de las extensiones (las XPI son tristes ficheros comprimidos con contenidos en texto plano) y a todos aquellos que sean incapaces de establecer niveles y fuentes de confianza para las extensiones que utilizan, que no usen extensiones de Firefox.»

    Nos deja fuera a casi todos, yo no soy capaz de hacerlo ahora mismo y, por supuesto no tengo tiempo de hacerlo cada vez que las actualizo. Además, recomendar no instalar plugins dejaría fuera a NoScript (tb el addon de NoScript) luego una recomendación de seguridad que tira la fortificación del sistema hacia abajo.

    Creo que el hecho, como bien apuntas es anecdótico y revelador. Anecdótico porque no creo que se haya infectado a mucha gente y revelador pq muestra los fallos en los procesos de auditoría de las ext. Dies bien, si no las puedes auditar no las sirvas. Pero creo que lo que hay que hacer es pedir a Mozilla eso, que sea más serio en la auditoría. Yo no le recomendaría a los usuarios que quitaran NoScript ni a las empresas que desactivaran el addon de AD (si lo tienen).

    Saludos!

  4. @Maligno,

    A mí siempre me sienta mal que cualquier vendor tenga un problema de seguridad, no por la actuación del vendor, sino porque siempre hay un peligro para los usuarios.

    Hay vendors que fallan porque a pesar de tener buen SDL, fallos cometemos todos. Hay vendors que fallan porque hacen porquería en vez de software. Hay vendors que sin hacer gran cosa, salen bien parados. Es indiferente para mí, la verdad.

    Sobre determinar por uno mismo la calidad de una extensión, pues mira, yo me mantengo firme. Si no se sabe auditar un fuente, cosa comprensible, pues apliquemos el sentido común. Si yo no supiera mirar fuentes no dejaría de usar ciertos plugins que están probados y reprobados, y bajo escrutinio directo de miles de usuarios, como por ejemplo, el NoScript, el de AD, el Switchproxy o Web Developer. También me fiaría de los plugins que el ABN Amro me proporciona para usar su banca a distancia con el autenticador EMV. Y si por lo que sea no somos capaces de generar nuestro listado de confianza, pues mira, no uses extensiones. El navegador sin extensiones es plenamente funcional, así que para el usuario medio no creo que suponga un trauma no usarlas :)

    En lo que definitivamente estoy de acuerdo es que Mozilla debe invertir más y mejor en la calidad de su auditoría. Saldremos ganando todos.

    Un saludo,

  5. El navegador sin extensiones es plenamente funcional, pero sin NOScript es mucho más inseguro. Y como tú bien dices, no dejarías de usar plugins bien mirados (habría que hablar largo y tendido sobre esto después de lo del OpenSHH…) por lo que no creo que recomendar no usar extensiones sea lo más prudente. Matizaría ese resultado.

    Además, permiteme que sea Maligno y dude de que incluso tú seas capas de auditar todas las extensiones que usas. Un día nos sentamos y hacemos una prueba con alguna especialmente trucada. (y no estoy diciendo que seas mal técnico, sino que ser auditor de código buscando bugs en código fuente exige una disciplina y un adiestramiento alto, así como un conocimiento en exploiting de código considerable).

    Saludos!

  6. @Maligno,

    La matización que pides esta hecha en el post. No recomiendo no usar las extensiones, no confundas los términos, recomiendo no emplearlas siempre y cuando se

    de alguno de estos supuestos:

    a) No podamos auditarlas empleando nuestros medios y conocimiento
    b) No podemos/queremos/sabemos que criterio seguir para fiarnos de las mismas

    Por otro lado te confirmo que no audito todas las extensiones que uso, ni mucho menos. Y hombre, todavía algo de criterio me queda para saber de qué fiarme y de qué desconfiar, que es de lo que se trata y lo que trato de inculcar a los usuarios. Algunas sí que las miro, curiosidad sobre todo, pero vamos, al igual que estoy de acuerdo en que buscar bugs es jodido (yo no lo hago, carezco del tiempo y el conocimiento suficiente) creo que buscar backdoors en una extensión es relativamente simple, ya que entiendo que en algún punto debe haber llamadas a servidores externos para descargar el payload correspondiente o para subir los datos capturados en la sesión, o quizás directamente haya malware incrustado, como ha pasado con el último caso.

    Obviamente, las cosas se pueden complicar y no siempre es inmediato detectar anomalías, y se me ocurren casos extremos donde por ejemplo la extensión pueda ejecutar acciones directas sobre el sistema, algo quizás menos probable pero igualmente viable.

    Sea como fuere, un análisis básico no es tan complejo. Por ejemplo, la semana pasada me estuve mirando Switchproxy y tengo por aquí unas notas, y la verdad, es muy sencilla de analizar. 3 ficheros, un instalador Javascript con 62 líneas de código, un paquete XML con 54 líneas y por ultimo el «core» de Java (switchproxy.jar) que es relativamente fácil de inspeccionar una vez desempaquetado (Winzip, 7zip, etc.): dos carpetas, una son «locales» y la otra es la de contenidos en sí (content), con ficheros que no sobrepasan los 5KB y las 100-200 lineas. Otro tema es buscar en ese código, o en el propio del navegador, problemas de seguridad más avanzados, desbordamientos y demás guarrerías: esa labor, no se tú, pero yo al menos se la dejo a los expertos en la materia :)

    Un saludo,

  7. Hola Sergio!!!!!

    sipo, yo se lo dejo a los expertos eso de auditar las extensiones, pq como tu dices, puede tener casos muy dificiles de detectar en el malware profesional. Que por desgracia está muy instalado en Firefox y que hace que las compañías antivirus lleguen a copiarse las firmas debido a lo costoso que es analizar el malware «pata negra».

    En tu comentario ha quedado un poco más claro «what you meant» pero en el texto yo no lo había pillado así con esta frase:

    «todos aquellos que sean incapaces de establecer niveles y fuentes de confianza para las extensiones que utilizan»

    Pero ya veo que pensamos igual ;) Saludos Malignos!

Comentarios cerrados.