Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

lunes, 27 de octubre de 2014

Desenmascara.me en la Black Hat 2014 Europa (Amsterdam)

Gracias al excelente trabajo que realiza ToolsWatch, tuve la oportunidad de asistir a la Black Hat edición Europa, en Amsterdam, que se celebró los días del 14 al 17 de Octubre. Una magnífica ocasión para conocer desarrolladores de otras herramientas de seguridad, charlar e intercambiar ideas.

Me llevo un muy buen recuerdo de esta experiencia, y sobre todo la ocasión de conocer compañeros del sector, tanto trabajando en España y fuera, más común esto último. Me lleve una gran sorpresa por la gran cantidad de ponentes españoles y asistentes.

Por mi parte estuve en el área Arsenal, presentando desenmascara.me:

Desenmascara.me herramienta web cuyos objetivos principales son:

1. Concienciar a los administradores de sistemas, propietarios web y desarrolladores sobre la importancia de mantener actualizado el software necesario para disponer de un sitio web.

2. Para auditores web y pentesters como herramienta ultra rápida para realizar un fingerprinting web.

Para demostrar el uso de la herramienta nada mejor que ver unos ejemplos de uso, como la imagen inferior con algunos casos de uso:


Desenmascara.me: casos de uso


De Amsterdam me traje un buen feedback y más ideas a desarrollar, la lista TODO crece sin parar.

Dos pequeñas anécdotas: Tuve la ocasión de conocer a Michael Bolen, el autor de rkhunter, una de las primeras herramientas de seguridad que empecé a usar allá por el 2002. Hace un año ha creado su empresa CISOfy.
Uno de los asistentes a arsenal me pregunto por la forma de detectar WAFs, estuvimos intercambiando algunas ideas, y luego me dijo que podía coger ideas de su proyecto: SQLmap.  El proyecto web-metadata de owasp se intentará encargar de unificar datos.

Michael, servidor y NJ Ouch, organizador del Arsenal. Al fondo, a la izquierda de la imagen se puede vislumbrar a Jesús Perez, presentando la herramienta Bluebox-NG

Gracias de nuevo a ToolsWatch por la oportunidad de presentar la herramienta, y al mismo tiempo por asistir al congreso BlackHat, que de otra forma, no hubiera tenido oportunidad.

En breve publicaré unos datos, en mi opinión, más que interesantes, sobre el estudio de metadatos y afinación del valor de concienciación de los sitios web según desenmascara.me


EXTRA: Si deseas un sticker con el logo de desenmascara.me, deja un comentario o ponte en contacto conmigo y te lo enviaré donde me indiques.


miércoles, 1 de octubre de 2014

Elplural.com distribuyendo software malicioso

Actualización 1 (5.10.14: 19:45): Que todavía siga saliendo el aviso de twitter de sitio malicioso, significa que aunque elplural.com ya esté limpio de badware, no se han preocupado de seguir el procedimiento de twitter, y/o twitter todavía considera que es peligroso.



A través de meneame.net voy a leer una de las noticias que enlaza al diario elplural.com y me encuentro con el aviso "el sitio al que accedes contiene software malicioso". Compruebo en twitter y veo que hace pocos minutos está ocurriendo.


aunque algunos usuarios se lo toman con algo de escepticismo:


Obviamente el aviso también sale en las búsquedas de Google


En twitter


Y accediendo a traves de Firefox (e IP diferente, fuera de España), cuyo motor de Seguridad (SafeBrowsing) es el mismo que el de Chrome:



Este es el informe de Google: actividad sospechosa 29 veces en los ultimos 3 meses?, vaya eso si que es ser activo !!



Bueno, son unas cuantas pruebas para cerciorarme que en realidad algo esta ocurriendo en el diario online.


Reviso el sitio web a través de desenmascara.me y observo los siguientes puntos a tener en cuenta.

  • El primero de ellos es el valor de concienciacion: 70 en este caso (con 20 o mas se considera que un sitio web esta concienciado con la seguridad). En mi experiencia con este servicio web, sitios web con un valor de 20 o menor son los que mas posibilidades tienen de ser victimas de badware, pero no siempre es asi. Veamos en mas detalle los demas puntos.
  • La versión de Wordpress: [WordPress 3.2.1,WordPress 3.5 tiene más de un año. La última versión estable 4.0 incluye varias correciones de Seguridad a través de las versiones anteriores pero posteriores a las del diario online.
  • En el apartado iframes, observamos varios de ellos que aparentemente no están relacionados ya que apuntan a diferentes dominios que no estan en la lista negra de SAfeBrowsing.
  • En el apartado scripts vemos varias referencias a la red de publicidad: https://ads.elplural.com/www/delivery/ajs.php 
  • En el momento de escribir este artículo de forma apresurada, dicho archivo contiene lo siguiente (lo dejo apuntado para referencia):

var OX_754bdd64 = '';



document.write(OX_754bdd64);



  • Jquery, concretamente la versión JQuery[1.8.3 la tienen alojada en local. Una buena práctica teniendo en cuenta las últimas noticias.
  • El sitio está alojado en CloudFlare, pero la IP no parece tener un gran historial malicioso. Aun asi, no tienen correctamente configurado todos los registros y podemos observar alguna IP real donde alojan el servicio.
Este es uno de los casos interesantes para el servicio web desenmascara.me. El sitio web mostraba un valor de concienciación de 70, bastante bien en teoría, en base a parámetros como estar alojado en cloudflare y signos de hardening como la cabecera HttpOnly. Exactamente este es el mensaje que muestra el servicio web desenmascara.me (versión ingles):

Review iframe as caution measure. Additional secure policy detected. No SSL version info. Many metadata extracted. Old Wordpress, please consider updating. Infrastructure of some of the big-players. Website built with Wordpress....

Ultimamente estoy viendo más sitios comprometidos que casualmente tienen versiones no actualizadas de Wordpress. Parece que tener un wordpress desactualizado hoy en día tiene su riesgo. El valor de concienciación en este caso tendría que haber sido menor por ello, y ademas por la NO correcta configuracion de cloudflare. Hora de actualizar el mini-algoritmo del valor de concienciación. 

Y por supuesto, un diario online como elplural.com comprometido va directo a pwnedwebsites.com