PROYECTO

----
PROYECTO
Concienciación en la seguridad de los sitios web: desenmascara.me
----

viernes, 31 de diciembre de 2010

Un año menos

Este blog cumple un año este mes desde su primer post, y como siempre, estas fechas son de mirar hacia atrás, meditar, y pensar en el futuro. Se termina el 2010 y es un año menos que tenemos para  poner en marchar esos proyectos, ideas, o pequeñas metas que nos vamos proponiendo, así que... ¡aprovecha el tiempo!. Echaré la mirada atras para ver un 2010 resumido, y meditar sobre que será el 2011:
  • Trabajo en algo, que como dicen por ahí; nuestros padres nunca hubieran soñado. Con un equipo de un gran nivel técnico, y este año, pese a la situación actual, se han conseguido grandes resultados. Lo que convierten al 2011 en un año apasionante. Para mí, es todo un desafío formar parte de un equipo así.
  • Realizar presentaciones siempre ha sido algo que me pone un nudo en el estómago nada más oir esas palabras. Pero este año he aprovechado unas pocas oportunidades para ello, y el año que viene espero que unas cuantas más.
  • Este año obtuve la certificación CISA.
  • Descubrí (si lo hubiera sabido antes, lo hubiera hecho antes) que podía realizar el BSc(hons) vía online. Así que estoy cursando para sacarme el BSc(hons), inicialmente me faltaba sólo un año para conseguirlo, pero con la carga de trabajo actual, me lo voy a tomar con más calma.
  • El inglés sigue siendo la asignatura pendiente, pero no desperdicio ninguna oportunidad de asistir a cursos ni practicar.
  • Finalice un reto deportivo, al menos uno al año hay que afrontar.
  • El verano es la época que más aprovecho para leer, necesito aprovechar mejor el tiempo antes y después de ese periodo para leer más.
  • He conocido a alguien en Internet con el que poder hacer pequeños proyectos y colaboraciones juntos. Es el precio que hay que pagar por tener una TV tan mala en este País, te obligan a buscarte otros hobbys. :D

Aquí os dejo un video apto para visualizar en estas fechas, y con un mensaje claro: "Wear Sunscreen".




¡¡ FELIZ AÑO 2011 !!

martes, 21 de diciembre de 2010

Comprueba si esa tienda online es de fiar

Estaba buscando un regalo para estos días en esta web, y me resulto un tanto sospechoso que los precios fueran notablemente más baratos que en el sitio oficial. Aunque no vendría mal para mi bolsillo, no me gustaría arriesgarme y exponer mis datos o incluso que no llegue el pedido, así que busqué algo de información sobre ese dominio.


$ whois ghd-espana.net

Domain Name: GHD-ESPANA.NET
Registrar: HANG ZHOU E-BUSINESS SERVICES CO.LTD.
Whois Server: whois.eb.com.cn
Referral URL: http://www.eb.com.cn

Registrant Contact:
  lucy zhang


mmm, un dominio y contacto de china. Por otra parte los datos del dominio oficial muestran lo siguiente:

$ whois ghdhair.com
Domain Name: GHDHAIR.COM
Registrar: GROUP NBT PLC AKA NETNAMES

Registrant:
  Jemella Ltd
  Unit 12, Ryefield Way
  Silsden West Yorkshire
  BD20 0EF
  UK



No tienen nada que ver entre sí, y teniendo en cuenta que el producto es inglés no me muestra mucha confianza el sitio chino. Además, en el sitio oficial tienen un verificador de páginas web falsas


Así que ya sabes, si la web donde vas a realizar una compra no es muy conocida, realiza una verificación básica para ver por quién está registrada, y confía en tu intuición. Si los datos son anónimos tampoco debiera darnos mucha confianza. En fin, tendré que estirarme esta vez.

jueves, 9 de diciembre de 2010

Webmaster, tu sitio ha sido comprometido y todavía no lo sabes

O vendes cialis sin saberlo. Esta es una lista de más de 200 dominios que han sido comprometidos y sus dueños o webmasters que los administran todavía no lo sabían cuando se publico, ¿esta el tuyo en esa lista?. En la actualidad, la mayoría ya están corregidos.

Con el PoC urldigger también puedes comprobar si ocurre algo extraño en tu dominio pero todavía no lo sabes, por ejemplo algo como en este:

#urldigger.py -S http://www.misitioweb.com

Looking for SPAM in......http://www.misitioweb.com
Looking for SPAM in......http://www.misitioweb.com/?429/buy-windows-home-server
Looking for SPAM in......http://www.misitioweb.com/?4447/buy-windows-vista-home-premium
Suspicious SPAM!!! -------> http://www.misitioweb.com:8888/index.4810.php [generic viagra]

Lo normal sería ver en el código html directamente el spam, pero haciendo uso de técnicas cloaking, aparecían únicamente en las búsquedas, esta vez se trataba de un nuevo tipo de ataque que usaba los dominios comprometidos pero en diferentes puertos para campañas de SPAM. Esto hacía que el ataque pasará inadvertido para los webmasters el mayor tiempo posible. Fuente y detalles en unmaskparasites.

Como ya viene siendo habitual hace años, el año que viene no va a ser menos, y los ataques web seguiran siendo una de las tendencias del 2011.


Pero ¿cómo consiguen acceder a nuestros dominios para modificarlos?, de varias maneras:

1. Con vuestras credenciales de webmaster.


Lo anterior es una traza wireshark de este troyano, os puede llegar por múltiples vías, correo electrónico como una imagen a visualizar, programa descargado de p2p, url acortada en red social...  Con tan sólo un click estaremos enviando todas las contraseñas guardadas en nuestro MSN, firefox, IE y gestor de sitios s/ftp filezilla a los malos. Y todo ello cortesía nuestra. Existen multitud de variedades de estos keyloggers, form-grabbing, ftp-manager-grabbing.

2. Vía vulnerabilidad en la plataforma de nuestro sitio web (wordpress, joomla, drupal...). Consultar el excelente material de el maligno sobre ello.

3. Vía vulnerabilidad en tu navegador o alguno de sus plugins para saltarse la ingeniería social e ir directamente al grano. Cuando hacen esto, se centrarán más en robar tus credenciales bancarias (troyanos bancarios, donde Zeus es el rey) que en otras, pero las otras (si cogen de sitios web o redes sociales), seguiran siendo útiles para seguir propagándose.

4. Si pierdes o te roban el portátil y usas filezilla, tendrán acceso a todas las contraseñas ftp de tus sitios. Evítalo protegiendo el sitemanager.xml

¿Conoceis más formas de que accedan a nuestros sitios web para modificarlos.? Dejarlas en los comentarios.


¿Y qué hacen una vez qué tienen acceso a nuestro sitio web?:

1. Te alojan SPAM de cualquier manera, ya sea como en el caso anterior intentado permancer ocultos a la vista del webmaster  o de manera más llamativa.

2. Defacements: modifican tu sitio para vanagloriarse de su grupo o cualquier otro motivo más oscuro. Esto es más típico de los años 90, pero todavía sigue habiendo casos.


3. Tu web se convierte en una amenza para tus visitantes ya que contendrá exploits para instalar más troyanos en los equipos de tus visitantes, y continuar así el ciclo de infección. Ejemplo de código que podría tener tu sitio web. Y lo que finalmente ocurríra con tu sitio si contiene ese tipo de código malicioso será caer en listas negras.

Lo recomendable sería, a parte de mantener una buena política de Seguridad tanto en tu equipo local, como en las actualizaciones del software de tu web, realizar monitorizaciones de cambios inadvertidos en alguno de tus dominios, existen servicios profesionales avanzados y personalizados pero orientados a grandes sitios. Pero esto no quiere decir que nosotros, por muy pequeño que sea nuestro sitio web, no podamos aplicar alguna medida proactiva/reactiva, por ejemplo con un simple script para verificar el MD5 de nuestra página principal. Otra vía más avanzada es hacer uso del servicio de aviso de código malicioso en web de Google. De cualquiera de esta formas, si nuestro sitio ha sido modificado recibiremos un mail de aviso indicándonoslo, no tendremos que esperar a que sean nuestros usuarios quienes nos avisen, o a que Google nos bloquee el dominio. No hay excusa para que esto nos coja por sorpresa.