{"id":23457,"date":"2021-11-23T13:35:43","date_gmt":"2021-11-23T19:35:43","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23457"},"modified":"2021-11-23T13:35:43","modified_gmt":"2021-11-23T19:35:43","slug":"trojan-source","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/trojan-source\/23457\/","title":{"rendered":"Implantes invisibles en el c\u00f3digo fuente"},"content":{"rendered":"

Los expertos de la Universidad de Cambridge describieron<\/a> una vulnerabilidad que dicen afecta a los compiladores m\u00e1s modernos. Un nuevo m\u00e9todo de ataque utiliza una funci\u00f3n leg\u00edtima de las herramientas de desarrollo en el que el c\u00f3digo fuente muestra una cosa, pero compila otra completamente distinta. Y esto sucede mediante la magia de los caracteres de control Unicode.<\/p>\n

Los caracteres de formato de direccionalidad Unicode relevantes para reordenar los ataques. <a href=\"https:\/\/trojansource.codes\/trojan-source.pdf\" target=\"_blank\" rel=\"nofollow\">Fuente<\/a>.

Los caracteres de formato de direccionalidad Unicode relevantes para reordenar los ataques. Fuente<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

La mayor\u00eda de las veces, los caracteres de control no aparecen en la pantalla con el resto del c\u00f3digo (aunque algunos editores los muestran), pero modifican el texto de alguna manera. En esta tabla<\/a> se incluyen los c\u00f3digos para el algoritmo bidireccional (bidi) Unicode, por ejemplo.<\/p>\n

Como probablemente ya sabes, algunos idiomas (lenguajes) humanos est\u00e1n escritos de izquierda a derecha (por ejemplo, espa\u00f1ol), otros de derecha a izquierda (por ejemplo, ar\u00e1bigo). Cuando el c\u00f3digo contiene solo un lenguaje, no hay problema, pero cuando es necesario (cuando, por ejemplo, una l\u00ednea contiene palabras en espa\u00f1ol y ar\u00e1bigo) el c\u00f3digo bidi especifica la direcci\u00f3n del texto.<\/p>\n

En la investigaci\u00f3n, los autores utilizaron c\u00f3digos para, por ejemplo, mover el terminador de comentarios en el c\u00f3digo Python de la parte central de una l\u00ednea al final. Aplicaron un c\u00f3digo RLI para cambiar solo algunos caracteres, dejando el resto igual.<\/p>\n

Ejemplo de c\u00f3digo Python vulnerable que utiliza c\u00f3digos bidi. <a href=\"https:\/\/trojansource.codes\/trojan-source.pdf\" target=\"_blank\" rel=\"nofollow\">Fuente<\/a>.

Ejemplo de c\u00f3digo Python vulnerable que utiliza c\u00f3digos bidi. Fuente<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

A la derecha est\u00e1 la versi\u00f3n que los programadores ven al revisar el c\u00f3digo fuente; a la izquierda se muestra c\u00f3mo el c\u00f3digo se ejecutar\u00e1. La mayor\u00eda de los compiladores ignora los caracteres de control. Cualquiera que revise el c\u00f3digo pensar\u00e1 que la quinta l\u00ednea es un comentario inofensivo, aunque de hecho una declaraci\u00f3n de retorno temprano oculta dentro causar\u00e1 que el programa se salte la operaci\u00f3n que carga a cuenta los fondos de una cuenta bancaria. En este ejemplo, en otras palabras, el programa bancario simulado despachar\u00e1 el dinero, pero no lo deducir\u00e1 del saldo de la cuenta.<\/p>\n

\u00bfPor qu\u00e9 es peligroso?<\/h2>\n

A primera vista, la vulnerabilidad se ve muy sencilla. \u00bfQui\u00e9n insertar\u00eda caracteres invisibles con la esperanza de enga\u00f1ar a los auditores de c\u00f3digo fuente? No obstante, el problema se consider\u00f3 los suficientemente grave como para justificar un c\u00f3digo identificador de vulnerabilidades (CVE-2021-42574<\/a>). Antes de publicar el art\u00edculo, los autores notificaron a los desarrolladores de los compiladores m\u00e1s comunes para darles tiempo para preparar parches.<\/p>\n

El informe describe las capacidades de ataque b\u00e1sicas. Las dos estrategias de ejecuci\u00f3n son ocultar un comando dentro de los comentarios, y ocultar algo en una l\u00ednea que, por ejemplo, aparezca en la pantalla. En teor\u00eda, es posible lograr el efecto opuesto: crear un c\u00f3digo que parezca un comando, pero de hecho sea parte de un comentario y no se ejecutar\u00e1. Incluso es posible que existan m\u00e9todos m\u00e1s creativos para explotar esta debilidad.<\/p>\n

Por ejemplo, alguien podr\u00eda utilizar el truco para llevar a cabo un sofisticado ataque de cadena de suministro en donde un contratista suministre a una empresa un c\u00f3digo que parezca correcto, pero no funcione seg\u00fan lo planeado. Entonces, despu\u00e9s de que se libere el producto final, un externo podr\u00eda utilizar la \u201cfuncionalidad alternativa\u201d para atacar a los clientes.<\/p>\n

\u00bfQu\u00e9 tan peligroso es en realidad?<\/h2>\n

Poco despu\u00e9s de que se public\u00f3 el art\u00edculo, el programador Russ Cox critic\u00f3 el ataque Trojan Source. No estaba impresionado, por decirlo de alguna manera. Sus argumentos son los siguientes:<\/p>\n