|
|
Otra futura comparativa: antiphishing MS&IE vs. Google&Firefox
Hay muchas barras antiphishing donde elegir para instalar en nuestros navegadores, en muchas ocasiones de dudosa utilidad. Está claro que el gato al agua se lo llevará la barra que venga incorporada por defecto en el navegador y sea más restrictiva.
Por un lado las personas más proclives a caer en un phishing no tienen conciencia del problema, y por tanto no se van a esforzar en instalar un software adicional para protegerse de un riesgo que ignoran. Por otro es necesario que la barra bloquee las páginas de phishing y no de opción al usuario a navegar por ellas (al menos de forma predeterminada). No basta con un simple aviso o un cambio de color en la barra, ya sabemos que la "pericia" de algunos usuarios no tiene límites y son capaces de todo.
En respuesta a la anunciada y esperada barra antiphishing del IE7, parece que Firefox incorporará la solución antiphishing de Google. Ahora andan en plena discusión sobre si debe ir o no activada por defecto, entre otras cuestiones.
Además de lo anterior, el otro gran caballo de batalla va a ser el esquema de notificaciones de sitios de phishing confirmados y lo que tarden en actualizar su lista negra. La ventana de un ataque phishing es de apenas unas horas, de nada sirve que cualquiera de estas dos iniciativas (la de IE o Firefox) actualicen pasadas unas cuantas horas.
Entre otras opciones, uno de los esquemas es que cualquiera pueda reportar casos de phishing a través de la propia barra, lo que requerirá una comprobación previa centralizada para evitar falsos positivos. Probablemente conllevará también un cuello de botella que podría desbordarse, y que retrasaría la actualización de la lista negra.
En su día realicé el análisis de un filtro antiphishing genérico (para IE, Firefox y cualquier otro navegador), y el apartado de notificación lo resolvía con grupos de confianza. A grandes rasgos, por ejemplo, las propias entidades financieras podían reportar sus propios casos de phishing, firmados digitalmente, y se incorporaban a la lista negra en tiempo real sin retrasos por comprobación adicional. Además preveíamos utilizar VirusTotal, donde recibimos miles de troyanos bancarios al mes, para dotar a la barra antiphishing de filtros contra los sitios de troyanos bancarios (que actualmente no cubre ninguna iniciativa).
En teoría todo muy bien, pero en la práctica los problemas llegan por donde menos te lo esperas (aunque cada vez me pilla menos de imprevisto), descoordinación entre los agentes implicados, intereses contrapuestos, competencia, posturas a la defensiva, etc., si ya era patente que no podían llegar a acuerdos básicos, lo de proponer una solución antiphishing coordinada quedaba fuera de lugar.
|
Un reto: ¿ por qué no desarrollais vosotros una barra antiphishing con alcance para el mundo hispano ?
Como bien dices que en el post, sólo nutriendola con la información de virustotal llegaría a ser de las más completas.
No sueñes, que ningún banco informará de los ataques que tenga. Por cierto, os habeis dado cuenta que ningún fabricante de antivirus, desde hace un cierto tiempo, está informando de los bancos que están afectados por los troyanos específicos (Banker, Bancos, etc)? Ya han conseguidometerles presión para que se oculten las afectaciones. O no?
Pues va a ser que O no. Yo sigo viendo informes de casas antivirus e investigadores de malware con listas bien completas de bancos afectados. No hace falta esforzarse mucho para comprobarlo... recuerda que Google es tu amigo :)
Pues Google no me ha servido de nada para encontrar datos de bancos afectados de, por ejemplo, este troyano:
Alias: Banker.AVY, Spy.Banker.AVY, Logger.Banker.avx, PSW.Banker.XKS, PWS-Banker.gen.i, PWSteal.Bancos, Spy/Banker, TR/PSW.Banker.I.7, Trojan.Spy.Banker.Avy, Trojan/PSW.Banker.I.7, Trojan/Spy.Banker.avy, Trojan-Spy.Win32.Banker.avy, W32/Banker.PSO, Win32/Spy.Banker.AVY
en ninguno de sus posibles alias (y así de otros muchos) Seguramente será porque no sé preguntar bien a nuestro "amigo Google". Me puedes ayudar?
Yo no he dicho que publiquen informacion detallada de la enorme cantidad de troyanos que se publican cada mes. Como contraejemplo a tu afirmacion "ningún fabricante de antivirus, desde hace un cierto tiempo, está informando de los bancos que están afectados por los troyanos específicos" ahi va un pequeño ejemplo de hace un par de meses:
http://www.hacksoft.com.pe/virus/trojan_bankash_g.htm
tico: la idea es bonita, no te voy a negar que hasta me apetece...
Pero siendo realistas, en cuanto IE y Firefox vengan con su propia barra antiphishing incorporada va a ser muy complicado convencer a la gente que se instale una adicional, sobre todo aquellos que están menos concienciados y que además son los más proclives a caer en la estafa.
De todas formas si tendríamos cierto hueco, porque nuestra solución no sería una barra al uso, podría abarcar más cosas además del phishing tradicional, y se podría focalizar en España o en el mundo hispano. El problema tal vez no sea tanto de tecnología, sino de como haces llegar esa solución a la gente que no está concienciada.
Una alternativa, tal vez más interesante (porque abarcaríamos a más gente con la protección), es sumar nuestro granito de arena con la información que podamos suministrar a las barras que tengan por defecto IE, Firefox, y demás navegadores. Habrá que ver que opciones hay.
También hay que tener en cuenta que tras el esperado éxito inicial de ese tipo de iniciativas (las barras antiphishing por defecto), los phishers evolucionarán. Lo lógico es que los phishers diseñen las futuras estafas pensando precisamente en burlar las principales protecciones, la de Firefox y, sobre todo, la del IE, por una simple cuestión de rendimiento (es el navegador más utilizado, y ellos pretenden llegar al máximo número posible de víctimas).
Otro vector de ataque interesante (no es por dar ideas), son los troyanos que modifiquen el comportamiento de la barra antiphishing. Sería relativamente fácil que diseñaran un malware que una vez instalado te muestre como seguras determinadas páginas de phishing. Por lo visto hasta ahora, esta "gente" le saca rendimiento a todo, son capaces de darle la vuelta a la tortilla a cualquier cosa.
jastruc: es cierto que los bancos no informan de los ataques o sobre todo, mejor dicho, de los incidentes que tienen (de las estafas que se están produciendo a raíz del phishing). Supongo que interpretan que es mayor el daño a la imagen que las pérdidas directas de las estafas. Sus razones de peso tendrán, no les vamos a discutir que de dinero saben un montón ;)
Sobre los antivirus, por descontado no publican todas las descripciones de troyanos bancarios (es muy complicado, podría decirse que imposible, con el volumen actual). ¿Qué han existido presiones para que no saquen esos listados de URLs o entidades afectadas? No lo se. Supongo que hipotéticamente podría darse algún caso puntual (entidad X que tiene contratado en sus equipos el antivirus Z, y hace un comentario a la casa Z de que ese tipo de información crea alarma entre los usuarios de la banca por Internet).
Pero vamos, sinceramente, no creo que la falta de descripciones se deba a presiones. Normalmente los antivirus sacan descripciones de los especímenes que les parecen más relevantes, bien por su propagación, porque incorporan alguna novedad técnica, porque son mediáticos, etc... y puede ser simplemente que los troyanos bancarios no aportan nada de eso, porque son prácticamente variantes, clones unos de otros, que se modifican para evitar las firmas de los antivirus, pero cuya descripción funcional es siempre la misma.
Puede sonar triste, pero lo mismo es que nos estamos acostumbrando a ellos.
Bernardo,
Todo lo que tú ves como desventajas, con un poco de suerte, podrían convertirse en ventajas:
+ Estoy convencido que los internautas españoles tendrán más confianza en vuestra barra antiphishing que en la de Microsoft. Apostaría que tiene mejor acojida. Por vuestra buena reputación en materia de seguridad y por la mala reputación de MS en la misma materia.
+ Precisamente por el menor ámbito geográfico a cubrir, comparandolo con la barra oficial del IE, seguro que sería menos atacada que la de MS.
Respecto a llegar al mayor número de gente, siempre podeis buscar apoyos de Rediris, etc. Además, las noticias sobre phishing, por lo novedosas, tienen un impacto alto en medios de comunicación de gran llegada a nivel nacional (prensa, radio e incluso tv.) Como ejemplo, vuestro estudio comparativo sobre las webs de las entidades financieras españolas de hace algún tiempo (creo que llegué a leerlo incluso en el Cincodías).
Por otro lado vuestro elemento diferenciador pienso que es la "riqueza" de información que aportaría virustotal a la barra antiphishing.
Creo haber leido hace poco que el indice de penetración de Internet en España ronda el 35%. Lo digo porque también está el lado económico. La iniciativa podría ser gratuita, como virustotal, pero si os planteaseis cobrar un precio simbólico, por ejemplo 1 euro x descarga, los resultados empresariales podrían ser muy buenos. [ Disculpa este último párrafo, es deformación profesional y desconozco como está el mercado en productos de seguridad, pero que duda cabe que es otro aspecto a tener en cuenta.]
Tico, si, probablemente soy yo el más pesimista con el tema.
Por ejemplo, CheckDialer ha tenido más de 130.000 descargas desde nuestra web (sin contar P2P y algunas webs que lo tienen colgado), y se supone que era un tema que debían controlar las operadoras de telefonía por ley (hay un BOE, que no tengo ahora a mano, donde explícitamente dice que las operadoras deben proporcionar una herramienta a los usuarios para prevenir el abuso de los dialers).
De hecho nos adelantamos con la solución, y entre otras, hubo también alguna operadora que entró en negociaciones con nosotros para adquirir/desarrollar el suyo.
El tema de las barras antiphishing está sin embargo muy trillado, y se nos vienen encima dos gigantes, Microsoft y Google, que lo van a incorporar por defecto en los navegadores y gratis. Sin contar a los antivirus (o "anti-de-todo") que muchos ya incorporan sus antiphishing.
De todas formas gracias por inyectarnos moral, no descartamos hacer algo complementario al enfoque tradicional de las barras antiphishing y menos intrusivo (en lo que respecta a la privacidad las barras, empezando por la de Google y terminando por cualquiera, son bastante puñeteras... todos tus hábitos de navegación terminan enviándose a un servidor central).
Si todas las barras antiphising actúan colateralmente como spyware-->enviando tu historial de sesión de navegación, entonces esta es una razón más, para que vosotros hagaís una que no actúe así (y publicitándolo).
Pero si no la haceís, entonces no habrá oportinidad de darse a conocer, así que mejor hacerla. La podríais vender a los bancos y cajas de ahorros.Si no pesa mucho,podría quizá incorporarse en el software que te envíe el banco a la hora de conectarte con htpps, aunque no lo sé.
Por cierto, el otro día pagué por vía telefónica, un recibo de la compañía eléctrica que me corresponde, y la empleada de la caja de ahorros, me pidió mi clave secreta.Protesté ,pero tuve que dársela,sino la operación no podía efectuarse, me dijo.
Pregunta: Para qué sirve la encryptación de los datos cuando viajan por internet vía teléfono, si después , vía el mismo teléfono (sin ordenador), los tienes que dar en abierto (incluida una de las posiciones de la tarjeta de barquitos)????
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/109/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
|
