Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

martes, 30 de noviembre de 2010

Día de la Seguridad Informática

No sabía que existía este día, el "Día de la Seguridad Informática", nos vamos a quedar sin días en el año para todas las conmemoraciones que se hacen.

Hoy lo he visto por twitter, y únicamente quería compartir con vosotros el recurso de la "Oficina de Seguridad del Internauta". Se trata de un servicio del Gobierno Central y puesto en marcha por INTECO. En él, cualquier usuario de Internet tendrá a su disposición un teléfono (901 111 121) para cualquier consulta o problema relacionado con la Seguridad Informática. Un foro de Seguridad,  y un asistente de Seguridad, y así como consejos y ayudas para desinfectar tu PC en caso de que sospeches de algo. En definitiva, ya no tienes excusas para mantener tu equipo a salvo de virus y otros intrusos no deseados y que tu comportamiento en Internet sea el adecuado para no ser víctima de ningún fraude online.


A mí me gusta Internet, pero una Internet Segura, ¿y a tí?. Aunque la otra, a veces también sea divertida para los que nos dedicamos a ello, no lo es tanto para las víctimas de esa Inseguridad. Por una Internet Segura.

martes, 23 de noviembre de 2010

Este sitio es una web atacante o visitar este sitio puede dañar tu equipo

Seguro que los has visto. Tanto si eres un usuario habitual de Internet o propietario de algún sitio web o blog, apuesto lo que sea a que te has encontrado con algún mensaje de estos en alguna ocasión, estan por todas partes:

este sitio es una web atacante
Aviso visual en navegador firefox

Aviso visual en el navegador chrome

De no ser así, te puedes considerar afortunado o quizá es que navegues con IE, en cuyo caso, el mensaje sería similar a este, pero esto es otra historia que ya comenté en su día:

Aviso visual en el navegador IE8


 A lo que ibamos, para mí, lo interesante son las 2 primeras imágenes, ya que son la muestra visible que el usuario normal percibirá de la tecnología SafeBrowsing de Google, disponible para que cualquiera pueda hacer uso de ella, tal y como hace el navegador firefox y chrome. El caso es que cada vez, es más común tropezarse con pantallas de ese tipo, y de acuerdo a los últimos datos publicados por dasient, las estadísticas no son nada halagueñas. Estas información se puede resumir en que el ataque drive-by es el método más usado para distribuir malware. Y el origen de estos ataques no viene de sitios de dudoso contenido, sino de sitios web  muy populares y conocidos, así como también de sitios de Gobiernos, universidades, etc. 

El caso es que casi en paralelo a estos datos, se publicaron las charlas de la conferencia de Seguridad SecTor, entre las cuales podemos encontrar la interesante presentación sobre la infraestructura que hay detrás de SafeBrowsing, titulada: Google's approach to malware on the web. Vídeo de la misma charla

Los datos mostrados encajan con los publicados por Dasient tal y como se muestra en la siguiente gráfica:


pero con algunas matizaciones como que la Ingeniería social está relacionada con los drive-by downloads en tanto estos necesiten de un click para su descarga incluso aunque no se sepa donde se está haciendo click. Esto todavía encaja con la definición de drive-by download ya que no has dado tu consentimiento para descargar nada.(click para cerrar pero era un baner gigante con la única opción de aceptar, etc)

Una interesante presentación que merece la pena ver para comprender un poquito el chirinquito que hay montado tras la tecnología SafeBrowsing.


En un momento de la presentación, Fabrice, comento que las máquinas virtuales que componían la arquitectura que navegaba las urls en busca de ataques drive-by, estaba compuesta por máquinas vulnerables con Windows + IE, el público entonces estalló a carcajadas. Y luego hablan del humor inglés.


Actualización [3-1-11]: Recursos para actuar cuando te sale este aviso.

jueves, 11 de noviembre de 2010

Seguridad con Firefox

Esta es la presentación que hice en Fundación Dédalo, dentro de la semana de Software Libre, sobre Seguridad con Firefox. Se trató de una charla no muy técnica orientada al usuario medio con el fin de conocer algunas amenazas de la red y de cómo Firefox nos protege. Es una pena que no sea autoexplicativa, pero el resumen podría ser:

"Ningún navegador te va a proporcionar una seguridad Total en Internet. Tienes la libertad de decidir cual de todos se ajusta más a tus necesidades y usar siempre las versiones más recientes y con todos los plugins actualizados. Los malos están ahí fuera esperándote. Navega con protección. Todo ello aderezado con algunos ejemplos." ;-)

Una pequeña anécdota: en la misma sala donde estuve, hace unos meses Chema Alonso ofreció una presentación sobre Seguridad en navegadores Web, dejando a Firefox en no muy buena posición (¡¡será sectario!!) -desde el cariño y la admiración :-) -. Tenía por delante el marrón de hablar sobre Seguridad en Firefox con tal antecedente.

miércoles, 3 de noviembre de 2010

Enlaces de spam y código desconocido en tu sitio web o blog

Sí tu sitio web o blog ha sido comprometido, es posible que ni siquiera te enteres (los defacements ahora son solo para script-kiddies). Pero cuando tu ranking en los buscadores y las visitas a tu sitio bajen y disminuyan, o incluso alguien te avise de que tu sitio web no está disponible por qué forma parte de alguna lista negra. Entonces quizá sea demasiado tarde para actuar. Por ello, lo mejor es no perder el tiempo y empezar a limpiar tu sitio de iFrames o enlaces de spam que no forman parte de él.


Todas las buenas prácticas en Seguridad recomiendan mantener las últimas versiones del software en producción, Pero a veces esto no es suficiente. Ya que los atacantes pueden haber dejado puertas traseras para volver a acceder aún cuando hayamos actualizado el software. Estas puertas traseras pueden ser un directorio oculto que no será sobreescrito con una actualización, código insertado en un tema o CSS o simplemente creando una cuenta con permisos de administrador.

Recientemente me encontré con un caso de un sitio muy bien posicionado. La táctica de este tipo de ataques es que no es visible para los visitantes ni los dueños de los sitios web, a no ser que sean muy cautelosos. Pero si se puede percibir a través de la cache de google o de una búsqueda como "site:tusitio.com viagra". Este tipo de táctica se denomina cloaking. También muy conocido como pharma hack, ya que tu sitio se habrá convertido en una tienda de todo tipo de productos farmaceúticos para quién llegue a través de un buscador o para los bots. Y esto es muy común en sitios web no muy protegidos o con versiones antiguas vulnerables.

Veamos el ejemplo del sitio que comento. Al hacer una búsqueda en Google y pulsar sobre "Cache"

 Imagen 1. Para preserver la intimidad del sitio


Podíamos ver esto:



Figura2

Si esta situación se mantiene durante mucho tiempo, tu sitio irá descendiendo posiciones en los SERPs y lo que es peor, podrá ser bloqueado.

Otra de las curiosidades de este tipo de ataques, es ver que otros dominios y recursos aprovechan. Concretamente en este, se está haciendo uso de recursos de las siguientes Universidades:
Como se puede comprobar, las Universidades son una gran fuente de recursos disponibles para dar cobijo a este tipo de tácticas. Una correcta administración y monitorización del sitio solucionaría en gran parte este problema.

En próximos posts, la solución para eliminar este hack de nuestro servidor.