Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

martes, 16 de diciembre de 2014

Cuales son las marcas falsas que mas se venden en Internet?

25% of all fake luxury goods which are sold in India are sold via eCommerce portals!
El mercado de los objetos de lujo se estima en $320 billones, de los cuales un 7% forma parte de las falsificaciones, es decir unos $22 billones. El 25% de estos productos se vendera a traves de sitios web online, y se estima que la demanda para este mercado de falsificaciones se doblara en el 2015. Fuente

Al hilo de la anterior afirmacion, recientemente una operacion antipirateria desmantelo 292 dominios de productos falsificados. Los sitios web se encontraban alojados en 19 paises diferentes, la operacion se ha coordinado entre Europa y EEUU.

Según la Europol, los sitios “habían sido usados para vender ilegalmente mercancías falsificadas, entre las que se incluían productos electrónicos, farmacéuticos, deportivos, bienes de lujo, películas y música.”

Segun la investigacion, los dominios incautados han pasado a ser custodiados por las Autoridades de los Gobierno de los países involucrados en la operación, no permitiéndose su acceso a ellos, y en muchos casos en su lugar un cartel advierte del delito que supone la infracción del copyright, un aviso como el siguiente:


 
Aviso que se observaba en un dominio web que vendia Ray-Ban de forma no oficial


Sin disponer de mas informacion sobre que productos son los mas vendidos online de forma fraudulenta, a traves de desenmascara.me he recopilado algunas estadisticas:


Top 5 productos, segun desenmascara.me vendiendose a traves de tiendas online falsas


Observamos que zapatillas de marca Nike y gafas de sol RayBan son los productos estrella en las tiendas online con hosting en China principalmente, y creadas con agiles CMS listos para su uso en campañas como la que se acerca.

Ahora que estamos en epoca de compras navideñas, no te dejes llevar por los precios y si realizas compras online, en caso de dudas desenmascara la web y; compra de forma segura.

jueves, 11 de diciembre de 2014

Que hay detras del portal del transparencia del Gobierno Español?

No podia ser cierto, alguien lo paso por desenmascara.me y me percate de lo siguiente:


El nuevo portal de transparencia del Gobierno bajo una plataforma web con 14 años de antiguedad y sin soporte desde hace 4 años??. Aunque nuestro Gobierno no deje de sorprendernos, no me creia que eso pudiese ser real, asi que investigue algo mas.

Como es muy sencillo alterar las cabeceras web, veamos otros tipos de fingerprinting web como el orden de las cabeceras web.  A partir de otros servidores que se ejecutan sobre IIS/5.0 comparemos resultados:

Orden de las cabeceras en la web del Gobierno:


nc transparencia.gob.es 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Thu, 11 Dec 2014 09:34:26 GMT
Server: Microsoft-IIS/5.0
Last-Modified: Fri, 22 Nov 2013 10:27:53 GMT
ETag: "8e6-5ce-4ebc17784c147"
Accept-Ranges: bytes
Content-Length: 1486
Connection: close
Content-Type: text/html



Orden de las cabeceras de otros sitios con IIS/5.0


# nc spainvulnbusiness.es 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://10.93.12.106/error.html
Date: Thu, 11 Dec 2014 09:37:25 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Sat, 11 Oct 2008 12:28:52 GMT
ETag: "2197c4eb9c2bc91:a35"
Content-Length: 175



# nc www.granelesdechile.com 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 11 Dec 2014 10:00:03 GMT
X-Powered-By: ASP.NET
X-AspNet-Version: 1.1.4322
Set-Cookie: ASP.NET_SessionId=krfafj343pu0of554nkwfp45; path=/
Cache-Control: private
Content-Type: text/html; charset=iso-8859-1
Content-Length: 668



Observamos como el orden de los 2 ultimos servidores web es igual, la cabecera HTTP Server esta en el segundol lugar, mientras que en la web de transparencia del Gobierno, la cabecera Server se situa en tercer lugar, lo que puede indicar que no se trata de un IIS sino de un servidor Apache.

Si probamos otra tecnica de fingerprinting web, como observar la respuesta a peticiones invalidas, observemos:

Sitio web de electrica española con IIS/5.0
# nc vulnwebsite.es 80
HEAD / HTTP/9.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://10.93.12.106/error.html
Date: Thu, 11 Dec 2014 10:20:47 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Sat, 11 Oct 2008 12:28:52 GMT
ETag: "2197c4eb9c2bc91:a35"
Content-Length: 175



 Pequeño sitio web de org con IIS/5.0

# nc www.someorganization.org 80
HEAD / HTTP/9.0

HTTP/1.1 404 Objeto no encontrado
Server: Microsoft-IIS/5.0
Date: Thu, 11 Dec 2014 10:19:47 GMT
Content-Type: text/html
Content-Length: 116

<html><head><title>Sitio no encontrado</title></head>


En las dos peticiones anteriores, las 2 primeras cabeceras son la respuesta HTTP y SERVER, ademas vemos que la cabecera Date, va siempre despues de Server, u otra cabecera adicional como Content-Location. Sin embargo si observamos en el portal de transparencia:  


#nc transparencia.gob.es 80
HEAD / HTTP/9.0

HTTP/1.1 400 Bad Request
Date: Thu, 11 Dec 2014 10:28:29 GMT
Server: Microsoft-IIS/5.0
Connection: close
Content-Type: text/html; charset=iso-8859-1



observamos que la cabecera HTTP: Date, va antes que Server, lo cual es otro signo del servidor web Apache.

Por ultimo si revisamos el perfil de la Cookie:

Cookie tipica de IIS/5.0
Cookie: IdUnico=1328344478; ASPSESSIONIDQQABDBDT=NOKBICDBAMEMHILLDFPPMFCC; __utma=78880587.414170472.1418308647.1418308647.1418308647.1; __utmb=78880587.1.10.1418308647; __utmc=78880587; __utmz=78880587.1418308647.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmt_bt=1; pathname=/ES/

Cookie del portal de transparencia:
Cookie: portal_transparencia=auu5d2bqk7j5uei9ai39sc2ht0; ID_SESSION=1090977034.20480.0000; _ga=GA1.3.586700092.1418287103; _gat=1

ninguna referencia a ASP.


Ademas, como es de esperar por el tamaño, si buscamos un poco mas, veremos que el equipo tecnico detras de .gob.es es bastante heterogeneo como:


Para finalizar, aunque no hubiera sido extraño que el portal estuviese bajo IIS/5.0, parece que no es asi y lo han querido enmascarar de alguna forma, algo ironico tratandose del portal de transparencia.

(Perdonad por los acentos y faltas, no tengo un teclado español)








jueves, 4 de diciembre de 2014

Como saber de forma sencilla si un sitio web puede ser comprometido

TLP son las siglas de Traffic Light Protocol. Se trata de un conjunto de designaciones que se usan para asegurar que información sensible, en relación a la seguridad informática, puede ser compartida con la audiencia correcta, y en que términos. Ejemplo de lo que no se deberia hacer.

Generalmente cuando una empresa de seguridad informática realiza una investigación sobre una determinada campaña de malware, bien a través de sistemas de un cliente o propios, la información que se extrae puede servir para prevenir ataques, pero con el fin de preveer que los ciberatacantes sepan que han sido descubiertos o para evitar darles más pistas, se suele compartir este tipo de información entre diferentes actores de ambitos privados y público. Concretamente TLP es usado por los US-CERT, sector público, privado de paises como Australia, Canadá, Finlandia, Francia, Alemania, Hungria, Italia, Japon, Holanda, Nueva Zelanda, Noruega, Suecia, Suiza y Reino Unido.

En uno de los recientes informes TLP se informaba sobre una campaña de malware distribuyéndose a través de sitios web comprometidos, el informe contenía cientos de URLs de sitios webs, algunos ya no estaban activos pero otros seguían online. Conseguí analizar 204 de dichos sitios web con desenmascara.me y este fue el resultado:

  • -95% de los sitios web analizados no puntuó mas de 20 en valor de concienciacion. Desenmascara.me considera un sitio web concienciado en seguridad, si entre otros muchos factores, esta usando software actualizado, sin fallos críticos, y/o la infraestructura se detecta que ha sido protegida.
  •  -Las 2 plataformas principales de los sitios comprometidos eran: Wordpress y Joomla
 
Analisis de 204 sitios web (comprometidos) con desenmascara.me


En la anterior grafica podemos ver valores que bajan de los -60 puntos, esto es porque el sitio web tendria una version de software muy vulnerable como Joomla 1.5 o similar y era muy sencillo tomar control de el. En el caso de los sitios web que puntuaban por encima de 20, no mostraban plataformas claramente vulnerables, en esos casos no esta claro como los atacantes consiguieron acceso. Pero al menos demuestra que no fue tan sencillo como en el caso de los sitios web descuidados.


Si tienes un sitio web, asegurate con desenmascara.me como un atacante podria ver tu plataforma para aprovecharse de ella en caso de que algo muy notable, en materia de Seguridad, le este afectando. Esto es lo que podras descubrir de tu sitio web con tan solo un sencillo paso y en unos segundos

Obviamente, esto no es una auditoria, ni pretende serlo, sino un servicio para demostrar la relacion entre sitios web que no se mantienen actualizados/cuidados por sus propietarios y como son entonces facilmente comprometidos.

Y tu, mantienes actualizado tu sitio web?