Blog 404 – Not Found! Blog 404 – Not Found!

No prometemos que vayas a encontrar lo que te gusta,pero esperamos que te guste lo que vas a encontrar.

Entradas etiquetadas como ‘antivirus’

Troyano en 20minutos.es

03 de enero de 2008

Ayer sufrimos en 20minutos.es una de esas cosas curiosas de la tecnología: entrabas en cualquier página de 20minutos.es y nuestro antivirus daba un aviso de detección de uso de un exploit de Internet Explorer. Exactamente mostraba una alerta de JS/Exploit-BO. En Firefox, por supuesto, no pasaba.

Extrañeza suma para todos nosotros en el departamento ya que precisamente ayer no se había subido nada a producción en la web.

El antivirus que utilizamos corporativo es el VirusScan Enterprise de McAfee. Además también nos habían llegado correos de muchos de vosotros comentándonos tal circunstancia y siempre haciendo referencia al mismo antivirus: otros antivirus del mercado no detectaban nada.

Después de hacer muchas pruebas en el entorno de pruebas que tenemos (y en el cual también reproducíamos la alerta del antivirus) vimos lo que había ocurrido: nuestros amigos de McAfee habían mandado ayer día 2 de enero una nueva actualización del antivirus (el scanengine 5200) y en esa actualización una de las librerías de javascript que utilizamos le coincidía con algún patrón y le saltaba como posible positivo.

Resulta que la librería en cuestión es la famosa librería de javascript JQuery que tanta gente usa en sus páginas. En nuestro caso usamos una versión algo más antigua que la última (la 1.1.2) y la usamos ofuscada para hacer que la descarga ocupe menos.

No sólo nuestra página aparecería a la vista de cualquier antivirus de McAfee como posible alojadora de un script que intentaba aprovechar un Exploit del Internet Explorer sino que miles de páginas que usan esta librería ofuscada también aparecerían como potencialmente peligrosas.

Todo esto que os contamos aquí son 3 horas de pruebas, investigación y solución del problema por algo que alguien en su pueblo ha decidido meter en una actualización de un antivirus: finalmente pusimos la misma librería pero sin ofuscar. Ahora estamos trabajando en ver la compatibilidad de la nueva versión para ver si es posible volverla a usar ofuscada. También daremos aviso a McAfee del falso positivo.

¿No da un poco de miedo el poder que tienen estas empresas tan extendidas para decidir que contenidos son buenos o malos o que contenidos son potencialmente peligrosos?

Imaginad que al mismo colega de McAfee se le ocurre decir que todo javascript que tenga una «a» sea considerado peligrosos o que toda URL que tenga la palabra microsoft es potencialmente peligrosa… la que se liaría, ¿verdad?

Tags: , , , , | Almacenado en: 20minutos.es
50 comentarios