alt-tab

¿Están infectados los visitantes del sitio?

Por Patricio Worthalter (W.)

¿Cuantas de las personas que visitan tu sitio web tienen spyware en sus computadoras?

Todos los webmasters (muchos visitantes de este sitio lo son) pueden saber con cierta precisión que perfil de seguridad tienen sus visitantes.

Supongamos que un dueño de botnet (desde ahora  Hackmaster) le vende a un dueño de sitio web (Ringtone Seller) de venta de ringtones un paquete de un millón de hits mediante popups. El dueño de la botnet instala en sus computadoras zombies el tipico spyware que cada unos cuantos minutos hace que en la computadora infectada aparezca así de la nada (o no) un popup, practica usualmente ejecutada por el Virtumonde. Como parte de su rutina de instalación, el spyware corre un proceso de detección de navegadores instalados para saber exactamente que versión tiene cada zombie. Después de saber que versión de Internet Explorer o Firefox tiene, le hace una leve modificación a la useragent var para agregarle un código de identificación.

Como en cualquier negocio tradicional, el comprador, en este caso Ringtone Seller necesita contar con información para hacer su reporte de ventas y analizar cuanto se vendió a partir de determinada acción de marketing, en este caso la aparición de popups en maquinas aleatorias alrededor del mundo. Ringtone Seller sabe que en campañas de marketing como la aparición de popups aleatorios en maquinas infectadas por [inserte aqui algun hackmaster] tiene posibilidad de vender porque conoce de que forma se instalo el spyware, por ejemplo mediante intento de descarga de ringtones gratuitos.

Teniendo en cuenta que es una transacción entre dos personas con muy poca ética comercial (Hackmaster se dedica a infectar computadoras con spyware y Ringtone Seller a enviarles publicidad no solicitada), las chances de que alguno sea estafado son muy altas.

Hackmaster podría enviarle un reporte a Ringtone Seller diciéndole cuantos popups fueron vistos, cuantos clickeados, cuantos cerrados, y desde que países y horarios; pero esta información podría estar totalmente dibujada; pagando Ringtone Seller por un servicio diferente al que obtuvo.

Si estuvieron atentos, habrán visto que cuando hable acerca de la instalación del spyware, dije que este hacía una modificación en la useragent  var del navegador de la PC infectada. Gracias a eso, Ringtone Seller puede identificar fehacientemente (analizando los logs de su webserver) cuantas de las visitas (y ventas) sucedieron gracias al servicio prestado por Hackmaster. Mediante un script en Perl se puede analizar un log de webserver muy grande, en poco tiempo y con resultados claros. Básicamente en un minuto se pueden analizar millones de visitas para saber cuantas eran de cada spyware. Así mismo se puede hacer un reporte para saber cual con cual Hackmaster se tienen mejores porcentajes de venta (aka conversion rate). Otro reporte podría ser por ejemplo “cual Hackmaster fue el que mas ringtones de [inserte genero musical] vendió” Talvez los miembros infectados de la red del Virtumonde compraban muchos ringtones de Reggaeton y la del Virtob compraba muchos de Cumbia. También puede obtener reportes basados en la ubicación geografica de los miembros para por ejemplo ofrecer mostrar en las maquinas infectadas de Argentina popups vendiendo wallpapers (de celular) de Gisella Dulko y en Rusia de Anna Kournikova, para analizar que éxito comercial tiene cada uno.

Tal vez termina descubriendo que es mas eficiente venderle wallpapers de mujeres argentinas a los rusos y no a la inversa; optimizando su inversión en botnets.

Toda esta información la obtiene analizando los propios logs de sus servidores. No es necesario acudir el proveedor de la botnet, que podría mostrarle otra información “interesantisima” como por ejemplo que otras compras realizo por internet cada usuario infectado, que medio de pago utilizo, etc..

Conociendo esta información (cuantos visitantes tienen spyware en sus computadoras) es posible entender porque algunos blogs (y sitios) obtienen mas o menos ingresos por sistemas de monetización basados en revenue sharing (división de ganancias) como AdSense. Es claro que un sitio que solo recibe visitantes sin spywares, no va a obtener clicks accidentales en los banners de su partner (en este caso Google).
Existen otras técnicas para hacer seguimiento de visitantes, algunas muy conocidas y otras no tanto. El fingerprinting en las user agent vars es solo una de esas.

El autor de este post trabaja hace más de 5 años prestando soluciones de hosting, aporta a este blog regularmente y se encuentra disponible para responder preguntas por via publica y/o privada.
_