Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 13 de febrero de 2013

Algunas conclusiones sobre sitios web comprometidos

Mientras preparo un sistema automático para mostrar estadísticas del servicio desenmascara.me, aquí dejo algunos datos extraidos manualmente sobre el primer mes intensivo de uso:

Hasta la fecha se han analizado 7304 sitios web de los cuales 97 tenían código malicioso y habían sido bloqueados por la API SafeBrowsing de Google. La mayoría de estos últimos, venían referenciados desde StopBadware.


Sitios web analizados en el servicio desenmascara.me


Analizando la cabecera Server de los sitios web infectados nos encontramos con "Apache" en el primer puesto seguido de "Microsoft IIS/6.0 y 7.5"

Cabecera Server de sitios web con código malicioso


Un análisis del dato anterior es la predominación de "Apache" sobre los demás servidores web. Esto lo convierte en la mayor fuente de servidor web vulnerable, en su gran mayoría por instalaciones antiguas de Joomla y a través de inyecciones sql de diferentes aplicativos.


Cabecera Powered_by de sitios web con código malicioso


La cabecera HTTP powered_by, estaba vacía en la mayoría de los sitios comprometidos, pero como se muestra en la anterior gráfica, se trataba de servidores apache con CMSs vulnerables. Este punto contrasta con la actual puntuación que genera desenmascara.me para este tipo de cabecera, en el cual puntúa de forma positiva si no muestra nada. 

En cuanto a la relación del factor de concienciación en los sitios vulnerados, este ha sido el resultado:



Resultado de concienciación de los sitios web vulnerados


Del total de los 97 sitios web que contenían código malicioso, es decir, que habían sido incluidos en la lista negra de SafeBrowsing de Google, 59 de ellos mostraban un bajo nivel de concienciación (<20 según desenmascara.me), y 41 mostraban un nivel de concienciación positivo. Este resultado ratifica que; a menor nivel de concienciación, más posibilidad de que el sitio web sea vulnerado y como consecuencia, incluido en listas negras. La diferencia entre ambas variables no es lo suficientemente determinante como para determinar el efecto y causa (sitio comprometido - bajo nivel de concienciación) pero demuestra una balanza clara del objetivo del servicio desenmascara.me; concienciar en la seguridad de los sitios web para evitar que sean comprometidos. 

A modo curioso, comentar que, alrededor de la mitad de los sitios web desenmascarados han optado por hacerlo de forma anónima, es decir, que no se muestren ni en los 5 últimos sitios web desenmascarados ni en el ranking.

Sitios web analizados que optaron por no publicar resultados

viernes, 8 de febrero de 2013

Cómo identificar a alguien que difama por Internet

Lamentablemente los trolls están por todos los lados, hay que lidiar con ellos. Recientemente alguién me contó el problema que tenía en twitter con alguien que estaba constantemente difamandole, con amenazas e informaciones falsas. Me preguntaron que se podía hacer en ese caso para poder dar con él.


Lo triste es que en la actualidad, cómo las leyes van siempre años por detras de la tecnología; denunciar una difamación en twitter es más un acto simbólico que efectivo.

Técnicamente sería posible dar con el susodicho, el anonimato en Internet no existe -para los trolls-, si se tienen los conocimientos necesarios, es posible, pero por lo general los trolls se caracterizan por eso; falta de inteligencia e ir a lo suyo. Con lo que el caso era sencillo. Sin tener que pasar por el largo procedimiento, y a veces imposible de; denuncia, solicitud de datos a compañía tecnológica y posterior solicitud de datos a compañía telefónica (junto con la denuncia + el dato conseguido de la compañía tecnológica) para conocer la verdadera identidad del troll. Es posible saltarse los últimos pasos, ¿cómo?, sencillo.

El siguiente procedimiento es totalmente legal, de otra forma no lo publicaría, discutible pero legal. Veamos lo sencillo que es conocer más datos que nos ayuden a identificar a quién está detrás de un troll que nos persigue constantemente.

  1. Este tipo de usuarios suelen dar la lata con algún tema; político, religioso, tecnológico... de alguna forma, tendremos que conseguir una dirección de correo (da igual que sea fake) pero que él lea (este punto es clave).
  2. Eso será fácil, usando algo de Ingeniería social, ya que este tipo de individuos están a la espera de cualquier información que alimente su sed de troll.
  3. Usamos un servicio de hosting gratuito con acceso ssh, hay muchos por Internet.
  4. Preparamos un enlace con un título de una temática llamativa que haga que el troll moquee pique.
  5. Usamos un servicio de mail anónimo, o el propio comando 'mail' del hosting del punto anterior.
  6. Enviamos un mail al susodicho con un asunto que llame la atención del troll y el enlace del punto 4.
  7. Paciencia... 
Con algo de suerte, en poco tiempo tendremos un log de acceso similar a este:



documentación-super-importante 1XX.X.X.X - - [03/Ene/2013:19:10:45 +0100] "GET /documentación-super-importante.txt HTTP /1.1" 200 13425 "-" "Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X) AppleWebKit/534.41 (KHTML, like Gecko) Mobile/9B201"



Posteriormente servicios como maxmind, nos completarán la información:

Dirección IPCódigo de paísUbicaciónCódigo postalCoordinadasISPOrganizaciónDominioCódigo metropolitano
Madrid, Calle esquina ATelefónicadeEspañaTelefonica de Espanarima-tde.net

Con dicha información, con algo de suerte, ya podría ser suficiente para identificar a la verdadera identidad que se esconde tras ese trol (dispositivo desde el que se accedió, barrio, Ciudad y compañía telefónica), y si no, el proceso legal para llegar hasta el final, será más sencillo con todos los datos recopilados.

Nota: una característica común de los troll es la falta de inteligencia, por lo que para que este procedimiento sea válido, el trol tendrá que realizar el punto 7 desde su casa o lugar habitual de trabajo, algo altamente probable, os lo aseguro.

viernes, 1 de febrero de 2013

Los sitios web legítimos tienen más probabilidades de tener malware


Según este estudio, el mayor riesgo no está en navegar por sitios pornográficos, de productos farmaceuticos o de apuestas online, sino de los sitios web del día a día.

Cisco descubrió que los sitios de tiendas online y el uso de los motores de búsqueda tienen 21 veces más probabilidades de contener código malicioso que un sitio de software pirata. Con la publicidad online hay 182 veces más probabilidades de que contengan código malicioso que un sitio pornográfico.




En cuanto a Países, EEUU va en  cabeza en cuanto al alojamiento de malware, aproximadamente se encuentra ahí un tercio de todo el malware, le siguen Rusia y China.

Para evitar que un sitio web contenga malware, es imprescindible asegurarlo bien. Para sitios web sencillos y estáticos, como ayuntamientos y los de cualquier compañía, se puede empezar analizándolo con desenmascara.me y en base al resultado tomar las acciones correspondientes. Para sitios web más complejos, será necesario una auditoría de seguridad profesional.

Estoy trabajando en la extracción de estadísticas que demuestren la relación del uso de un cierto tipo de software con la consecuencia de caer en listas negras por contener malware, así como más datos interesantes recopilados con desenmascara.me, todo ello, con el fin de proteger los sitios web y evitar que sean víctimas del malware. Por ahora, hay disponible un ranking de sitios web más concienciados con la seguridad. Permaneced atentos!.