Saltar al contenido

Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» I (Phishing)

Via: HispaSec
Esta frase es una de las recomendaciones de seguridad básicas que todo sistema de banca online ofrece a sus usuarios. Ha sido uno de los consejos estrella para intentar evitar el phishing en los últimos años.
En realidad, SSL podría ser un arma poderosa contra le phishing pero no ha sido así. En parte porque no se entiende la tecnología, en parte porque se ha vuelto tan popular y barata que ha dejado de tener el efecto deseado. El SSL y «el candadito del navegador» simplemente ya no significan nada. Tanto, que se ha tenido que crear un nuevo concepto de certificado. Un consejo obsoleto que ofrece una falsa sensación de seguridad de la que se están aprovechando los phishers.

¿Para qué sirve el SSL?

Incluso entre los profesionales de la informática existe cierta confusión al entender el SSL y qué significa que se navegue bajo el protocolo HTTPS. Se sabe que es un «canal seguro», pero ¿seguro por qué?
Sin entrar en tecnicismos, hay que decir que SSL debería cumplir dos funciones. Primero es una conexión cifrada sobre un canal público. Cifra la conexión de forma que en teoría sólo el servidor y el navegador pueden acceder al flujo de datos entre ellos. Lo que olvidan muchos es que SSL también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Esto lo hace gracias a la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener.

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy….) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto.
Siguiendo con la analogía del DNI, sólo el Estado (las autoridades
certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿Es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la
saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello abría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros.
Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS.
Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

Existen certificados de hasta 300 euros al año, y estas autoridades certifican el dominio, los datos… es un proceso caro y costoso que se paga. Pero como se ha dicho también los hay «light» en los que toda la gestión se hace online y con una mínima comprobación. Esto es legítimo y válido, pero llevado al contexto del phishing, resulta ventajoso para los atacantes. Los phishers pagan 20 euros (con tarjetas que a su vez han robado) y tendrán un candadito y una conexión HTTPS en su phishing.
El nivel de credibilidad aumenta con respecto a sus víctimas.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: «si tiene candadito, es seguro», se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» I (Phishing)

Espirales logarítmicas

Logarithmic Spirals Espirales logarítmicas Image Credit: M101 – NASA , ESA , CFHT , NOAO ; Typhoon Rammasun – MODIS , NASA Crédito Imagen: M101 – NASA, la ESA, CFHT, NOAO; Typhoon Rammasun – MODIS,… Espirales logarítmicas

Fundamentos de la Paella

A TODOS LOS QUE SE INTERESAREN POR LA GENUINA PAELLA VALENCIANA GASTRONOMIA VALENCIANA (Made in Spain)
(Fragmentos)
Reservados todos los derechos. Prohibida la reproducción total o parcial, por cualquier medio, sin autorización escrita del autor Juan B. Viñals Cebriá. Inscrito en el Registro de la Propiedad Intelectual, V.- 1-08-2007.
Según podemos saber por medio de la documentada “Agencia Valenciana del Turisme”.-La gastronomía valenciana está basada históricamente en:- «Los diez libros de agricultura del famoso Columela, el Libro de Cocina del romano Apicio, las Etimologías de San Isidoro (siglo VIII), el Libro de Cocina Hispano- Magrebí. Traducido por Ambrosio Huici Miranda (siglo XIII), incluidos muchos párrafos metafóricos de la poesía arabito andalusí surgidos de la imaginación de Ben al Talla y Cafar Ben Hutman, entre otros literatos, además del libro Arte de Cozina del valenciano Diego Granado, cocinero de Felipe II, configuran un gigantesco antecedente cultural que de una forma directa o velada posee un fiel reflejo en muchos de los hábitos alimenticios de estas tierras». Por mi parte decir, que mis meritos, o conocimientos gastronomicos, caso de poseerlos, son debido, a los continuados consejos y a las meritorias confidencias que en la década de los años sesenta, con tanta paciencia me revelara mi tía Maria, la hermana de mi madre, poseedora de la autentica “recepta” (receta) de la paella de la Parreta.
***

Gratuito cdlibre Nº 143

Se encuentran disponibles para su descarga los programas software libre / gratuitos para Windows, actualizados o incluidos en el Boletín Número 143 de CDlibre, entre el 24 y el 30 de Marzo de 2008. Recopilaciones… Gratuito cdlibre Nº 143

Apple abrirá el desarrollo de aplicaciones para el iPhone

El presidente de Apple, Steve Jobs, ha anunciado que a partir de febrero pondrán a disposición de terceros un kit de desarrollo de aplicaciones para el iPhone y el iPod Touch, que hasta ahora no aceptan programas desarrollados por otras compañías.

"Queremos aplicaciones nativas de terceros en el iPhone, y esperamos tener un kit para ello en febrero", ha asegurado Jobs en la página web oficial de Apple. Un anuncio que supone un cambio en la política de la compañía de la manzana, que hasta ahora se reservaba la exclusividad para crearlas.

Según Jobs, se trabaja para que dicho sistema de desarrollo sea una plataforma potente y al mismo tiempo proteja a los usuarios de su teléfono móvil de virus, malware y posibles ataques maliciosos. Algo que Jobs asegura que "no es tarea fácil", aunque sea imprescindible desde su punto de vista.

"A medida que los móviles se vuelven más potentes, los programas maliciosos son más peligrosos (…), y el iPhone es un objetivo muy visible", añade. Jobs pide también "paciencia" a los desarrolladores para poder acceder al sistema de desarrollo de Apple, y asegura que las novedades "compensarán" la espera.

Apple abrirá el desarrollo de aplicaciones para el iPhone

Troyanos «simples»: «Keep it simple, stupid!»

Fuente: www.hispasec.com  

Llevamos meses y meses hablando de lo sofisticado de las técnicas de los nuevos troyanos, de lo sutil y avanzado de sus métodos, siempre enfocados a pasar desapercibidos, engañar a usuarios cada vez más concienciados y entorpecer su propio análisis. ¿Evita eso que exista una corriente de "involución" en el mundo de los troyanos? Ni mucho menos. Técnicas simples (incluso chapuceras) siguen obversándose y no por ello con un menor "éxito" para el atacante. "¡Hazlo simple, idiota!" (conocida técnica KISS).

 

Ya se habló en el blog de Hispasec

(http://blog.hispasec.com/laboratorio/) de troyanos sencillos que pasaban desapercibidos para (en aquel momento) la totalidad de los motores antivirus con los que trabaja VirusTotal.com (“Cuando 30 antivirus no son suficientes” se llamó la entrada). Hoy vemos como esta técnica sigue teniendo éxito con numerosas campañas.

 

La última de las campañas lanzadas corresponde a un supuesto correo proveniente de la rimbombante "Dirección General de Servicios de Cómputo Académico de la Universidad Nacional Autónoma de México a través del Departamento de Seguridad en Cómputo y UNAM-CERT". En un correo donde precisamente (y con fina ironía) se dan consejos útiles y reales para prevenir el phishing. El el mensaje se pide la descarga de un manual.exe que supuestamente contiene más información para prevenir este tipo de estafas.

 

Manual.exe está alojado en un servidor legítimo comprometido, perteneciente a una organización sin ánimo de lucro con dominio .au

(Australia) y resulta ser de lo más chapucero. Sin ningún tipo de ocultación ni ofuscación de código (de hecho, si se usan técnicas habituales de ofuscación comienza a ser detectado por los motores gracias a una herústica paranoide), modifica el archivo "hosts" del sistema (pharming local) redirigiendo al usuario que pretenda conectarse a un importante banco mexicano hacia una web fraudulenta que simula ser la banca online de la entidad.

 

Un simple vistazo al código desnudo del archivo (abriéndolo con cualquier editor de texto) permite conocer qué y cómo modifica el sistema. Es tan "simple" que ni siquiera utiliza la variable de entorno %systemroot% para encontrar el archivo de "hosts" (usa c:\windows, afectando sólo a las instalaciones por defecto de XP y 2003). Está escrito en VisualBasic y su vida útil es muy corta. De hecho, a las pocas horas de analizarlo, la web fraudulenta a la que redirigía al usuario era desactivada, con lo que el troyano queda ya inutilizado (esa dirección se encontraba incrustada en su código).

 

Sin embargo este malware pasaba desapercibido para la totalidad de los motores en VirusTotal.com. 24 horas después de nuestro estudio ya lo detectan 3 motores, pero en el momento de ser lanzada la "campaña", pasaba inmaculado cualquier análisis. Precisamente comienzan a detectarlo cuando ya no sirve para nada, pero eso es otro problema.

En cualquier caso, no todo es simple en este tipo de ejemplares: este tipo de troyano en concreto ofrece ciertas ventajas que permiten “saltarse” el sistema de OTP (one time password) específico de la entidad a la que ataca.

 Troyanos «simples»: «Keep it simple, stupid!»