|
|
Utilidad relativa para el mundo hispano
Como sabemos son varias las barras de herramientas antiphishing existentes para los navegadores que, en teoría, deben filtrar e impedir a los usuarios que visiten las webs de phishing donde se intenta robar sus credenciales imitando la web de las entidades bancarias.
Este tipo de herramientas suelen incluir algún tipo de "heurística" para indicarte el grado de peligrosidad de las webs que visitas, pero su principal función, y la más efectiva, consiste en impedir al usuario conectar con las páginas de phishing conocidas.
El método que utilizan es básicamente consultar una lista negra cada vez que visitas una web, si la dirección coincide con alguna de las existentes en la lista negra de phishing te avisa e impide que puedas visualizar la web fraudulenta.
Algo que vengo observando desde hace tiempo es que este tipo de soluciones tienen mucha dependencia de la localización, y todas enfocan en USA. Es decir, que son poco efectivas para los casos de phishing en otros países, incluido España.
Como prueba de concepto, aprovechando varios phishing que esta semana pasada se han dirigido a clientes de entidades españolas, he probado las cuatro barras de herramientas
antiphishing que Alerta-Antivirus.es referencia en su web, ya que es un sitio que mantiene buenas recopilaciones de las utilidades de seguridad más demandadas y utilizadas por los usuarios.
El resultado es que ninguna de ellas impedía al usuario visitar la página de phishing.
En el caso de la barra de Netcraft, mediante un pequeño indicador rojo (Risk Rating), indicaba que era peligrosa, pero no impedía visualizarla porque no tenían las direcciones de phishing registradas. La barra de Earthlink directamente daba como válidas las direcciones, ni impedía visualizarlas ni incluía ninguna señal de advertencia o duda. En el caso de TrustWatch de Geotrust aparecía un indicador de NOT VERIFIED pero también se mostraba operativa la página de phishing. Por último Spoofstick de CoreStreet también permitía visualizar la página de phishing, y el indicador verde indicaba que el dominio coincidía con la URL.
A continuación algunas capturas de pantalla del caso concreto de un phishing contra el BBVA. Aunque el BBVA ha recibido varios phishing este fin de semana (en el momento de escribir estas líneas se encuentra aun activo el sitio http://www.bbvabankes.net), nos referimos a uno anterior que detectamos la noche del jueves, y las pruebas con las barras de herramientas antiphishing se realizaron el sábado. Es decir, las soluciones antiphishing tuvieron tiempo sobrado para incluir en sus listas negras las direcciones.
|
¡¡ Estas "barras americanas" !! (perdón por el chiste fácil).
Quizás sólo nos cabe esperar que el anunciado filtro antiphishing para la nueva versión del IE de MS se vea alcanzado por la "globalización" y contemple estas situaciones más allá de USA, aunque mucho me temo que seguirá los mismos patrones que el expuesto en esta entrada del blog.
Tico, habrá que esperar a ver la implementación del servicio de Microsoft. La tecnología no difiere mucho a lo que comentaba en la nota, pero es de suponer que funcione mejor porque el parque de usuarios será mucho mayor.
No se cuantos usuarios españoles utilizarán la barra de Netcraft, tal vez la más famosa de las comentadas, pero a buen seguro que cuando salga el IE7 serán muchísimos más los que utilicen el servicio de MS.
La barra de MS permite que cualquier usuario notifique un phishing, el cuello de botella estará en el tiempo que tarde el equipo de MS en verificar las notificaciones de los usuarios y poner la dirección en la lista negra.
Si esa parte funciona, aunque sólo sea por una cuestión numérica (la cantidad de usuarios que la van a utilizar y potencialmente pueden realizar notificaciones de phishing), lo previsible es que la del IE7 funcione mejor.
Otro tema que dará que hablar es el tema de la privacidad, ya que la barra de IE7 enviará las direcciones al servidor de MS para hacer la comprobación en remoto... pero bueno, seguro que discutiremos los pros y los contras otro día.
Como dices, habrá que esperar... cuando salga a buen seguro le haremos un seguimiento, a ver como se porta ;)
Con el tema del IE7, creo que el problema ademas de ser el cuello de botella provocado por el equipo que esta detras, estará en como este equipo validara una buena url de otra mala, quien será el responsable de meter y quien sacará las direcciones de la lista.
Ya sabemos todos que meterte en una lista negra es muy facil, pero salir.... ¿ y si alguien accede a esa lista y se pone a añadir urls legitimas?
Poneros en la siguiente situacion, sois los responsables de una web bancaria, y teneis varias direcciones para acceder a vuestro portal, y con varios servidores web..... ¿que pasaria si mañana introducis uno nuevo en vuestro parque? y ¿si comprais un nuevo dominio?
Por ejemplo, el bbva, decide comprar alguno de los dominios que ahora son de phishing.... ¿quien te saca de la lista negra?, ¿cuanto tiempo tardara?, ¿que procesos seguiran?.....
#tisasia
según MS, la propia barra antiphishing tiene una opción para notificar falsos positivos donde tienes que rellenar un formulario con algunos datos. A efectos prácticos funcionará igual que los reportes de phishing, es decir, el sitio web tendrá que ser evaluado manualmente por el equipo antiphishing de MS para valorar si debe o no estar en la lista negra.
Lo cierto es que es un arma de doble filo... por un lado pueden tener cantidad de feedback... de usuarios notificando phishing y falsos positivos, pero por otro lado tendremos que ver cuanto personal dedican a la tarea de evaluar las notificaciones, que metodología utilizarán (como harán esa comprobación) y los tiempos que emplean tanto en las altas como bajas de la lista negra.
Para mi gusto, si montara una barra de herramientas antiphishing, distribuiría esa tarea. Por ejemplo, facilitando a las entidades bancarias un canal directo para dar altas y bajas (al fin y al cabo suelen ser los primeros en recibir avisos), son empresas confiables (no se prevé que ninguna haga una jugarreta, y si la hace basta con quitarle ese privilegio), y sería un mecanismo fácil de diseñar y securizar (mediante firma digital).
Es cuestion de tiempo que los ataques de "phishing" se adelanten a estas medidas en los navegadores y teniendo en cuenta que la mayoria de usuarios trabaja con demasiados privilegios (Administrador casi siempre en XP), tenemos phishing para rato......Estoy con tisasia, no creo que las listas sean la solucion....demasiados pasos e intermediarios, menos privacidad...La lista seguira creciendo y creciendo y no resolvera el problema.
¿No seria mas facil para los bancos entregar smartcards (tipo USB, por ejemplo) a cada cliente para que se autentiquen asi en el banco on-line?
#ktio
Estoy de acuerdo en que las barras antiphishing no dejan de ser un parche. Además como IE7 será mayoritario, lo lógico es que los phishers agudicen el ingenio para saltarse precisamente la herramienta que esté más extendida.
También es cierto que con los esquemas de doble autenticación, certificados clientes, contraseñas de un solo uso, etc... se podría evitar el phishing tal y como lo conocemos hoy día, pero los bancos de momento son bastantes reacios a desplegarlos (a excepción de la tarjetita de coordenadas). Supongo que la mayoría está esperando al DNI electrónico en un intento de ahorrarse dinero e implementar algo estándar... esa es otra guerra, mientras que el sistema del cliente pueda estar comprometido, ni DNI electrónico ni nada.
A veces es suficiente leer con atención el mensaje recibido para percatarse porque suelen estar muy mal redactados de estilo e incluso ortografía/gramática -- como en el caso del mensaje utilizado para las pruebas Estimado cliente! Nosotros no hemos podido proceder las operaciones últimas sobre vuestra cuenta. (!!!) Tiene toda la pinta de ser una traducción automática (el colmo!) pero he de decir que he visto textos de mayor calidad literaria salidos del dedo del mono! ;)
Por cierto, una grata sorpresa descubrir que ahora tenéis blog!
El mejor antipishing creo que es el navegador Firefox (nada de barras ni historias varias). El hecho de que marque en verde la barra de la url hace que se vea fácilmente si estamos en un sitio seguro o no.
Nacho, un blog minimalista de momento, pero esperamos que os sea útil, o al menos paseis algunos ratos entretenidos con nosotros... con el tiempo a ver si lo mejoramos y llegamos al nivel de los microsiervos ;)
NetVicious, lo del cambio de color del campo direccion en Firefox cuando conecta por https es un punto a su favor (el IE debería tomar nota). No libra que te puedan hacer un phishing con un servidor seguro, pero también es cierto que de momento los phishers no se esfuerzan mucho y tirán de http.
Se trataría de no introducir la contraseña por el teclado, sino con el ratón utilizando un teclado alfanumérico virtual que te será enviado por la entidad bancaria (y se supone en diferentes posiciones de pantalla cada vez).
La BBK ya está utilizando parcialmente este método.
Evitaría, salvo captura de pantalla, que un troyano o key-logger en una máquina infectada; pudiera robarte la contraseña en una operación bancaria.(en caso de captura de pantalla,basta con que te pidan una (o dos) coordenadas aleatorias cada vez (nunca iguales))
Veís la posibilidad o viabilidad de la idea?..
No he tenido tiempo de estudiar la fiabilidad matemática de este método que parcialmente, como he dicho, utiliza la BBK.
(Utilizan un miniteclado virtual (en pantalla) y debes introducir un número de 2 dígitos de una tarjeta personal que te han enviado de una matriz de 10x10 (1,..10) (A,...,J) .
Repito ,esto es una protección contra máquinas ya compremetidas por algún gusano (pero miles de usuarios desconocen si lo están o no).
Valdría la pena indagar y estudiar esta cuestión.
Hay variedad de troyanos y técnicas, hay los que interceptan las pulsaciones del teclado, los que directamente interceptar los parámetros que se les pasa al IExplorer, también están los que hacen capturas de pantalla,...
Lo de los teclados virtuales, sin ser la panacea, cubre una parte de esa problemática.... cuando tenga un hueco a ver si os pongo una demo de como un troyano captura la contraseña de un teclado virtual.
Lo de las tarjetas de coordenadas (lo de jugar a los barquitos...A3,C4), es una simplificación para tener claves dinámicas. Como lo anterior, no es definitivo, pero también puede ser útil en muchos casos.
Combinar diferentes técnicas de "defensa", como comentas, daría mayor protección.
"Lo de los teclados virtuales, sin ser la panacea, cubre una parte de esa problemática.... cuando tenga un hueco a ver si os pongo una demo de como un troyano captura la contraseña de un teclado virtual."
Bernardo, esta demo sería desde luego muy interesante para todos.
Estoy pensando, que si la posición del teclado virtual, en la pantalla, es siempre diferente ( y aleatoria), no se pudiera determinar a qué coordenada de pantalla corresponde cada pulsación de ratón (de digamos (A1=14)(J8=29), (el teclado virtual es en realidad sólo de dígitos).Y sin que hubiera captura de pantalla.
Si te piden marcar 2 coordenadas (barquitos) (A1 y J8, por ejemplo), el índice de protección de esta clave dinámica de tu tarjeta personal, sería de 10.000/1, aunque estos números fueran interceptados en el camino por el troyano.
En la siguiente sesión bancaria, te pedirán otras 2 coordenadas Xn aleatoriamente, que sólo tú conoces.
Lo que ocurre, claro está, es que al cabo de muchas sesiones bancarias (comprometidas por un troyano), el utilizador de este último, podría llegar a conocer todas las coordenadas de tu tarjeta (barquitos) personal, ya que esta tarjeta no es dinámica, sino estática, claro...
como se ase esta guebada para activar y para controlar las maquinas estas ? que estan ..... ?mucho lento.?
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/37/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
|
