Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 26 de diciembre de 2012

Desenmascarando sitios web con spam y exploit kits

Sitio web alojado en un dominio .es en el cual se visualiza algo extraño:

Analizamos dicho sitio web con el servicio desenmascara.me


Comprobamos que dicho sitio tiene código inyectado, y además está sirviendo spam referenciado desde otro sitio web, para el cual desenmascara.me muestra el siguiente resultado:


Hasta aquí, podemos observar dos puntos principales del servicio desenmascara.me:

  1. No hace falta tener ningún conocimiento técnico para revisar código extraño de cualquier sitio web, desenmascara.me te alertará si encuentra algo sospechoso
  2. desenmascara.me sabrá si descuidas tu sitio web y esto es una consecuencia de ello: ser parte de una red de venta de spam y exploit kits, perder el SEO, y a continuación ser bloqueado por listas negras como SafeBrowsing.

EXTRA: Sí quieres seguir investigando, puedes analizar el código javascript ofuscado con herramientas como wepawet. Esta es la actividad que el sitio web estaba realizando (sin tu conocimiento) cada vez que lo visitabas:

A parte de vender spam, tu sitio web estaba actuando como un vehículo para la descarga de exploit kits con  los más variados objetivos.

miércoles, 12 de diciembre de 2012

¿Es posible saber quién envió el correo a Santiago Cervera?

Ese es el título de este artículo, acertadamente escrito en base tecnológica para lo que nos tiene acostumbrados la prensa, salvo la parte del anonymous. 

El proyecto Tor ha contribuido a que más de 36 millones de personas puedan acceder a Internet libremente, sin que gobiernos y empresas los controlen. El trabajo de este proyecto ha sido clave en los movimientos ciudadanos en Irán y Egipto que posteriormente dieron lugar a las revoluciones de la primavera árabe. También ayuda a que periodistas de todo el mundo puedan trabajar de una forma totalmente segura, compartiendo documentos y opiniones, que de otra forma se podrían filtrar. En definitiva, el proyecto Tor es un soplo de aire fresco en la actual pérdida de privacidad en Internet. Pero también tiene un lado negativo, cómo en el título de este artículo. 

La red Tor esta formada por máquinas de las que nada se sabe, se han dado casos de nodos falsos que habían sido usados para robar credenciales, para el manejo de botnets, vulnerabilidades que permitían exponer a sus usuarios, e incluso para divertirse. En definitiva, la línea de investigación por aquí poco más dará de sí. 

El tema de los correos solo sería importante en caso de que se pudiese demostrar alguna laguna en la coartada, como que no hubiera constancia en el servidor o que la timeline no cuadrase. El contenido está escrito en perfecto castellano, sin rasgos característicos o errores relevantes.

Se mencionó el hecho de la confiscación de su móvil en el momento de su detención, pero nada se sabe si se hizo lo mismo con su/s ordenador personal para la realización de un análisis forense en busca de algún tipo de evidencia como instalación de Tor o verificación del último acceso. 

Otra línea de investigación sería el análisis de accesos a su propia cuenta de correo para ver si en alguna de las ocasiones cometió el error de hacerlo a través de tor (tal vez incluso desde el mismo nodo). O incluso el análisis de tráfico de su ISP para descartar descartar ningún rastro de Tor, o por descabellado que pueda parecer, que un tercero tuviera acceso al correo de Santiago, todo eso sería sencillo verificarlo.

Si ha sido víctima tal y como afirma de una conspiración, seguramente será muy complicado, si no imposible ,dar con los verdaderos autores de los correos. 

Esperemos que hechos como este no alienten a los gobiernos a sacar disparatadas leyes.

martes, 27 de noviembre de 2012

Concienciando en la seguridad de los sitios web

En junio de este año se cumplieron 5 años del servicio de navegación segura de Google. Esta es la imagen que muestra ahora Chrome cuando llega a un sitio web infectado.



Recordemos algunos números:

  • Se detectan 9500 nuevos sitios web maliciosos cada día. Blogs personales, sitios web de pequeñas y medianas empresas o sitios creados especialmente para distribuir código malicioso.
  • El 49% de los propietarios de los sitios web se enteran por estos avisos de Google.
  • 1 de cada 5 propietarios admiten que les ha podido ocurrir por no actualizar el software de su sitio web
  • 2 de cada 3 propietarios no saben como su sitio web ha sido comprometido.

Ante estos números, estamos ante un caso claro de poca concienciación, o despreocupación en cuanto a la seguridad de los sitios web. Con mi granito de arena, para ayudar a concienciar (y por otros temas), estoy trabajando en un pequeño proyecto en forma de "prueba de concepto" para intentar concienciar sobre la seguridad de los sitios web, y que se tomen medidas antes de que este problema ocurra, y si al final ocurre, intentar informar sobre lo sucedido. En breve, el proyecto estará disponible para poder probarlo, mientras os dejo una pequeño ejemplo de informe:

Análisis de un sitio comprometido:


El valor (la puntuación) se extrae a partir de un análisis del software y arquitectura del sitio web, cuanto más baja, más posibilidades de que el sitio web sea objeto de este tipo de problemas. Además muestra un mensaje informativo indicando cual ha podido ser la causa.

Muestra más en detalle del análisis y posibles causas del origen por el cual el sitio está categorizado por Google como "Sitio web que contiene software malicioso".



DESENMASCARA.ME en breve disponible para probarlo.


viernes, 9 de noviembre de 2012

Colaborando con la CSA

La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro creada para promover y crear unas buenas prácticas de seguridad en el entorno Cloud, y proporcionar educación sobre su uso de una forma segura. Cuenta con varios grupos de trabajo en los cuales se puede colaborar, y creo es muy interesante, tanto para mantenerte al día de conocimientos en este entorno como ganarlos y aprender de otros compañeros de profesión. 

Uno de los documentos que ha publicado recientemente es: Security as a Service. Dicho documento surge porque en la actualidad, vendedores de soluciones de Seguridad se están basando en modelos cloud para proporcionar sus servicios. Este cambio ocurre por una gran variedad de razones incluidas las grandes economías de escala y los mecanismos de distribución de servicio actuales. Pero independientemente de las motivaciones de este cambio de paradigma, los consumidores ahora se enfrentan a la evaluación de soluciones de seguridad de servicios que no están en sus instalaciones. Los consumidores necesitan comprender la naturaleza única de los servicios de seguridad proporcionados en modelo cloud, de forma que se encuentren en una posición de poder evaluar y comprender que es lo que se ofrece y comprobar si se ajusta a sus necesidades.

En este documento de Security as a Service se ha intentado definir que significa, se han categorizado diferentes tipos de Seguridad como servicio y se proporciona una información considerablemente práctica para poder implementarlo en las organizaciones de forma razonable.

Esta es la primera versión de las 10 categorías definidas de Security as a Service, proyecto en el que he tenido el privilegio de colaborar.

miércoles, 3 de octubre de 2012

El DNI electrónico en la banca online II

Poco ha durado la comodidad que comentaba en el anterior post sobre el uso del DNI electrónico en mi banca online. Hoy recibo una llamada para confirmarme el siguiente mensaje que venía viendo hace días:


¿Qué ventaja tiene ahora el uso del DNI electrónico sí me va a hacer falta un tercer factor?. Bien por Caixa por incrementar la seguridad online, pero me sigo preguntando. ¿qué datos hay de fraude operando con el DNIe en la banca online?. Estadísticas de fraude relacionadas con claves de entrada y tarjetas de coordenadas las conocemos, sino, echad un vistazo a cualquier de los informes publicados por S21sec. Sí, el fraude es cada vez más avanzado pero, ¿tenemos datos de fraude con el DNIe?. A día de hoy parece que no.

Mucho me temo que esto es así por el uso marginal del DNIe. Al igual que pasara con Apple hace años, que era una plataforma 'invulnerable' por su pequeña cuota de mercado en comparación a MS, hoy un producto de masas ya no es tan invulnerable. La breve historia de la tecnología nos enseña que lo mismo sucederá con el DNIe. Mientras tanto, seguiré usando el DNIe como método seguro y ágil.


martes, 17 de julio de 2012

Extreme bardenas XV (2012)

Domingo 1 de Julio de 2012, Arguedas:

Con JJ en la salida, ignorantes de lo que nos esperaba

La XV edición de la Extreme Bardenas fué una de las más largas y duras. Los días previos ya avisaban de poca calor -un aliado en ese desierto-, mucho polvo y más de 120 KM, la extreme más larga de la historia.


Pero lo que no avisaron fué de un invitado de última hora: el cierzo. Hasta el KM30 se rodó relativamente bien, a partir de ahí, el cierzo se empezaba a notar y nos acompañó hasta el KM 106 en contra, con rachas de hasta 60KM/h. Esto hacía casi imposible rodar en solitario, se necesitaba el cobijo de grupos, pero ello también requería ser compañero y relevarse para tirar del mismo, lo que en muchas ocasiones, no se apreciaba, bien por la falta de compañerismo o lo más seguro por la falta de fuerzas para tomar los relevos.
Una cosa me llamó mucho la atención, lo que en otras ediciones se empieza a notar a partir de los últimos KM, aquí se hizo patente desde el KM 50, los grupos de bikers apenas hablaban entre sí, después del desierto reinaba el silencio.



En el avituallamiento del KM 72, ví como un grupo de unos 15 ciclistas del club arguedano -el club organizador de la prueba- se retiraban. Uno de ellos dijo: "quedan más de 50KM y con el viento en contra, a  tomar por ·$%%" mientras se retiraba. Lo que no daba muy buena espina, pero me veía con fuerzas y pensé, continuo un poco más y ya veré. De hecho, esta ha sido la edición con más retirados: 196. La frase más repetida por el walkie del juez de carrera fue, hasta Castildetierra, "la gente va muy mal, la gente va muy jodida".

Este año, el entrenamiento previo fué algo menor que el año pasado, esta fué mi rutina de junio:


Como en ediciones posteriores, la emoción de llegar a meta y superar el reto merece el esfuerzo. En el deporte como en el trabajo, hay que ser constante y mantenerse activo.

Happy biking.

viernes, 22 de junio de 2012

5 años de navegación segura gracias a Google

SafeBrowsing, la tecnología que hay detrás de las temidas advertencias rojas, cumple 5 años.


Algunos datos de interés:

  • Se detectan 9500 nuevos sitios web maliciosos cada día. Blogs personales, sitios web de pequeñas y medianas empresas o sitios creados especialmente para distribuir código malicioso.
  • Unos 14.000.000 de búsquedas al día en Google muestran el aviso de sitio web comprometido.
  • El presente año ha contabilizado el mayor número de sitios con phising descubiertos.

Más datos de interés relacionados, obtenidos de StopBadware:
  • ¿Cómo se enteran los propietarios de que sus sitios web han sido infectados?: El 49% por casualidad a través del aviso SafeBrowsing en su navegador. El 45% son notificados por una organización (proveedor de hosting, Google, compañías de Seguridad...). 
  • Sólo el 6% de propietarios nota algún comportamiento extraño en su sitio web.
  • 1 de cada 5 propietarios admiten que les ha podido ocurrir por no actualizar el software de su sitio web
  • 2 de cada 3 propietarios no saben como su sitio web ha sido comprometido.
  • El 60% indica que soluciona por su cuenta el problema de seguridad tras consultar recursos online.
  • El 5% no hace nada y creen que se solucionará.
  • El 28% de propietarios de sitios web considera el cambio de hosting tras un incidente en su web.
  • El 46% no le informa a su proveedor de hosting de lo sucedido.
  • 3 de cada 4 que recibieron asistencia de su proveedor.

jueves, 26 de abril de 2012

El DNI electrónico en la banca electrónica

Recientemente he empezado a usar el DNI electrónico para el acceso a la BE, que por cierto, no se le ha hecho mucha publicidad a esta forma alternativa de acceso (implementada desde el 2007) por mucha ley de impulso a la Sociedad de la Información. Pero lo cierto es que en el fondo, es una forma muy cómoda y segura de acceso a tu entorno de banca electrónica.



Al acceder en varias ocasiones con el DNIe, apareció el siguiente mensaje de mi BE:

Atención: información de su interés.

Ha accedido a ENTIDAD identificándose con un DNI electrónico u otro certificado digital admitido para ello. Si lo desea puede eliminar la posibilidad de acceder a ENTIDAD mediante clave de entrada y establecer como único y exclusivo sistema de acceso la identificación con certificado digital, beneficiándose de la seguridad. Los beneficios de esta medida de seguridad radican en que es necesario disponer del dispositivo físico, el DNIe o certificado digital, para poder acceder a ENTIDAD y que ante un hipotético robo de claves estas no podrían ser utilizadas. 

Conocemos datos estadísticos de fraude en banca electrónica a través de los métodos más comunes; robo de usuario y contraseña, tarjeta de coordenadas y métodos con segundo factor de autenticación, pero ¿se conocen datos de fraude con DNIe?, NO, y si alguién los conoce, por favor, que lo indique en los comentarios. Pero me temo que el motivo no sea por la imposibilidad de llevarlos a cabo, sino porque los accesos con DNIe en BE no superan las 2 cifras al mes.

Por ahora, sólo este motivo de seguridad podría ser un buen llamamiento al uso del DNIe, hasta que se convierta en un método de acceso moderado.


martes, 20 de marzo de 2012

Proactividad en la gestión de incidentes de seguridad

Tarde o temprano ocurrirá, interna o externamente habrá que gestionar un incidente de seguridad y reaccionar de acuerdo a un plan, pero ¿qué plan?, ¿estamos preparados para gestionarlo correctamente o iremos dando palos de ciego?, o peor aún, ¿se querrá ocultar y actuar como si no hubiera ocurrido nada?. Esto último es lo peor que se podría hacer.

En primer lugar, pongamos algunos ejemplos de incidentes de seguridad para los cuales debiera existir un plan para su correcta gestión:

  • La infraestructura ha sufrido un ataque exitoso de alguien externo.
  • Fallo en la infraestructura de forma no intencionada por alguien interno
  • Fuga de datos de clientes o productos
  • Vulnerabilidades públicas en productos de amplio uso
Generalmente se pone poca atención en la gestión de un incidente una vez este ha ocurrido. Pero la propia ISO 27001 tiene un apartado -el punto 13- dedicado a ello. Incluso tenemos el estándar ISO 27035:2011 para la administración de incidentes de seguridad, publicado el año pasado, o el más reciente Computer Security Incidente handling guide del NIST -todavía en borrador-

Uno de los beneficios más importantes, pero en muchas ocasiones no considerado de una gestión eficiente de incidentes de seguridad es el componente económico. Disponiendo del personal técnico, ejecutivo y de comunicaciones gestionando un incidente de forma coordinada, requiere una ingente cantidad de recursos (personal y horas). Sí se está preparado, dichos recursos seran menores.

Otro beneficio está relacionado con el departamento de comunicaciones o relaciones públicas. Las noticias sobre incidentes de seguridad están a la orden del día y dañan la imagen de la organización ante actuales y potenciales clientes. Una gestión eficiente de dichos incidentes minimiza un potencial impacto negativo en el negocio.

También se contribuye a la justificación presupuestaria y de recursos, algo que suele ser muy necesario -sobre todo hoy día- para departamentos mal considerados como 'de gasto'. Y se proporciona una mayor conciencia de seguridad de la información en la cultura interna.

Finalmente otro beneficio es el tema legal. Multiples circunstancias pueden dar lugar a responsabilidades penales. Por ejemplo el hecho de haber usado recursos de una infraestructura para realizar un DDoS, usarla como puente para atacar otros sistemas, o la exposicion de datos personales y o confidenciales. Conocer qué ha sucedido y reaccionar de forma adecuada es clave para afrontar los posibles problemas legales que se puedan presentar.

(Continuará...)

martes, 14 de febrero de 2012

Proxy en entornos corporativos

El proxy en los entornos corporativos es algo que siempre genera polémica, pero fuera de toda duda estan sus beneficios sobre la protección ya no sólo de la red y su infraestructura sino también de los propios usuarios. En el ataque a RSA fué una de las buenas prácticas de seguridad reconfirmadas. No hay duda, un proxy es una capa de protección más dentro de nuestra estrategia de defensa en profundidad. Pero realmente ¿para qué es necesario un proxy?, una cuestión que aunque parezca trivial, los usuarios lo ven como algo negativo, algo que restringe su libertad y su productividad sobre todo en los tiempos de BYOD.

Un simil que leí hace tiempo sobre el papel de un proxy y que muchos usuarios entenderán de forma sencilla es el siguiente:
Un proxy es un intermediario. Intercepta los mensajes antes de enviarlos a su destino. Supongamos que quieres enviar un mensaje al presidente de los EEUU. No podrías ir directamente al presidente y entregárselo. En su lugar, tendrías que entregárselo a un intermediario, como a la agencia del servicio secreto, quién aceptaría el mensaje, y tras examinarlo y asegurarse que no contiene nada peligroso se lo haría llegar al presidente. Esto es lo que hace un proxy -acepta mensajes de salida o entrada en la red, los inspecciona en busca de contenido malicioso y cuando decide que todo está OK pasa los datos a su destino.


Ventajas de un proxy de navegación:
  • Filtro de páginas de dudoso contenido (virus, iframes, troyanos, spam...)
  • Proporciona una seguridad añadida al filtrado de paquetes al actuar en capas más altas (nivel 6,7 OSI)
  • Elimina la conectividad entre sistemas confiables y no confiables.
  • Permite compartir acceso y optimizar recursos ( en entornos con conexiones limitadas )
  • Proporciona información útil en caso de incidentes de seguridad relacionados con la navegación.

Pero también tiene otras desventajas:
  • Muchas aplicaciones no están pensadas para trabajar en entornos con proxy.
  • Rompe el modelo cliente/servidor lo cual es bueno para la seguridad pero malo para la funcionalidad.

Finalmente si vais a implantar un proxy hacerlo de forma segura siguiendo este checklist de pruebas.

Y vosotros qué opinais, ¿proxy o no proxy?

domingo, 22 de enero de 2012

Código malicioso en sitios webs de descarga de películas


Eso es lo que se han/hemos encontrado muchos usuarios hoy al entrar en el portal pordescargadirecta.com. La pantalla del susto de Chrome o Firefox indicando que el sitio es una web atacante o que puede dañar tu equipo. Según el detalle de SafeBrowsing la última vez que encontró contenido sospechoso fué el día 20.


El sitio pordescargadirecta.com hace pocas semanas tuvo un incidente de seguridad el cual dejo la web inaccesible durante varios días. Cambiaron de software y  migraron a vbulletin, en este momento están con la versión 4.1.9. El mensaje anterior muestra 3 de los dominios que tenían alojado el software malicioso que se instala automáticamente en el navegador de los que visiten pordescargadirecta.com. Habría que realizar un análisis de la BBDD de pordescargadirecta.com para encontrar la inyección del código que apuntaba a estos sitios y eliminarlo, y encontrar también el método por el cual consiguieron introducirlo (generalmente con sql injection). Mäs información para actuar en estos casos.

El servicio wepawet indica en estos momentos que el sitio pordescargdirecta.com no realizada nada sospechoso. Así que lo más probable es que los administradores del sitio web ya hayan eliminado el código malicioso y será cuestión de horas hasta que Google le vuelva a dar el visto bueno.

Lo curioso de esto es que ahora todo el mundo piensa que está relacionado con el cierre de megaupload y #SOPA


Pero más curioso aún son otros sitios web involucrados en esta campaña de código malicioso


Sí eres de los que tiene cuenta en pordescargadirecta, por si acaso me iría cambiando la contraseña o asegurarme de que no la reuso en ningún otro sitio.

viernes, 13 de enero de 2012

Desafíos raramente discutidos en la implantación de políticas de seguridad

Es simplemente genial el último post de Javier Cao titulado "Reflexiones sobre tendencias del 2011 y pronósticos del 2012" en el cual expone e interpreta los datos recopilados por Paolo Passeri.

La seguridad de la información es un campo relativamente nuevo y por ello, no es de extrañar que cueste aceptar -sobre todo en algunos entornos legacy- el papel de un responsable de seguridad y su valor en una empresa. Mi pronóstico para el 2012 es que seguiremos oyendo como los demás tildán de 'paranóicos' a todo aquel que trabaje en Seguridad, los seguirán viendo como individuos que se dedican a sacar las verguenzas y mirar debajo de las alfombras, y todavía costará relacionar esta disciplina con el core del negocio.

La seguridad es un área que requiere el análisis de una cantidad inmensa de fuentes de datos. Para asegurar algo, todos los aspectos y elementos del entorno deben ser revisados, evaluados y categorizados. La cantidad de información que compone cualquier análisis de seguridad empieza a crecer exponencialmente con las múltiples permutaciones derivadas de cada instancia identificada del riesgo potencial. Las principales piezas de la seguridad son: las personas, procesos, tecnología e instalaciones, y es todo un desafío proporcionar un marco razonable de seguridad en las organizaciones cuando el personal siga viendo a los de seguridad como enemigos y no como compañeros con un mismo objetivo; proteger los sistemas de información.

Ante ello, recomendaría a cualquier profesional de seguridad la lectura del libro: "Securing organizations impaired by employee politics apathy, and intolerant perspectives". Una lectura muy interesante para conocer los verdaderos desafíos en la implantación de un marco de seguridad en una organización; apatía, miopía, primacía e infancia.  

Este libro puede ser una revelación para algunos ya que trata conceptos que raramente son discutidos en este área, pero que son sin duda determinantes. Su lectura podrá hacer cambiar de una perspectiva de potencial víctima a un estado de conocimiento de las verdaderas causas que subyacen en la implantación de políticas de seguridad y poder comprender, y quizás influenciar, el entorno para el propósito común.