Estaba uno buscando una extensión para añadir una barra de botones al formulario de comentarios para facilitar la inclusión de estilos (negritas, enfásis, etcétera) y me encontré con una que ofrecía lo que necesitaba Comment Quicktags pero después de ver lo que le está pasando a Manu mejor me lo replanteo de nuevo.
Y es que a Manuel, el autor de Mangas Verdes, le están "saliendo los enanos", lo cuenta inicialmente en A la caza del troyano y posteriormente en Localizado, Aislado y ¡Destruido!_. Se ve que aprovechándose de un fallo en este plugin (en principio, ya que el autor del plugin no ha encontrado nada raro que permita hacer esto) le han introducido un trozo de código en su página que a su vez intentaba descargar y ejecutar un troyano a los que visitaban su página usando Internet Explorer con JavaScript habilitado.
Manuel recomienda revisar los blogs a los que usen/hayan usado este plugin y, en el caso de encontrar una redirección a "us-counter" (lugar desde donde intentan que te bajes el troyano) deshabilitar la página. Las moralejas están claras:
-
Que un código sea software libre garantiza que cualquiera pueda revisarlo pero no por ello garantiza que sea seguro o "el mismo" que deberías obtener del sitio oficial.
-
De ser posible se debe revisar siempre que el original y la copia descargada sean la misma. Para ello una buena idea es usar pruebas de redundancia cíclica ya que el cambio de un solo byte de información dará como resultado una cadena MD5/CRC (o del algoritmo usado) totalmente distinta.
Por supuesto toca aclarar que un MD5/CRC obtenido de la misma web también puede estar comprometido por lo que no es 100% fiable. Pero "la seguridad no es un producto, es un proceso"1 y cada paso extra que damos puede poner las cosas más difíciles a quien nos quiera intentar fastidiar.
-
Bruce Schneier ↩
Comentarios