13 julio 2009

Acortando la seguridad

Al calor de Twitter se han popularizado sobremanera los acortadores de direcciones, el primero en saltar a la fama fue TinyUrl y posteriormente han surgido muchos mas servicios, cada uno intentando aportar 'algo mas' que el vecino.

Sin entrar a valorar lo útiles / poco útiles que son estos servicios, si que merece la pena dar un repaso sobre los potenciales riesgos de seguridad que pueden suponer.

El problema mas obvio es que supone un punto único de fallo, si el servicio se cae o deja de estar accesible, todos los enlaces quedan inaccesibles, este escenario ya ha sucedido cuando Telefónica bloqueó TinyURL.

Pero el escenario aun puede ser mas terrorífico, como es lógico un servicio de esta naturaleza es un verdadero lamín para alguien con intenciones maliciosas, si controlas el acortador, puedes hacer que las URLs acortadas sean redirigidas arbitrariamente. Este fue el caso de Cligs que fue hackeado y todas las URLs que servía apuntaron a la dirección web de un blog (aunque todo parece indicar que se trató de una broma), el caso es que Cligs a día de hoy es el cuarto acortador mas usado, y 2.2 millones de direcciones fueron manipuladas. Si en vez de 'para hacer una broma' se hubiera empleado para distribuir malware aprovechando algún bug, hubiera sido demoledor.

Otro punto negativo de los acortadores es que cada vez mas están siendo empleados por spammers para camuflar direcciones web que estén identificadas en listas negras, y de esa forma evitar filtros anti-spam.

Al hilo de esto, nos ha parecido interesante probar que tal se comportan algunos de los servicios para validar URLs y comprobar si son capaces de ver 'mas allá' del enmascaramiento

La URL que hemos escogido como 'maliciosa' es http://astalavista.box.sk que, si bien puede ser discutible lo perniciosa que sea o no, la mayoría de servicios anti-malware la marcan como potencialmente peligrosa.

Hemos escogido los siguientes servicios para detección de URLs maliciosas: WOT, TrustedSource y Finjan.

Hemos usado como acortador de direcciones spedr y la URL debidamente acortada de astalavista quedó de la siguiente forma http://spedr.com/5xi52

¿Resultados?

WOT es incapaz de seguir el acortamiento e informa que spedr es un sitio altamente confiable



TrustedSource también 'pica' y no es capaz de identificar la URL correctamente


Finalmente Finjan, que parece que se esta tomando bastante en serio su servicio de detección de malware, si es capaz de seguir la URL e identificar la URL correcta.

3 comments :

Zerial dijo...

En cierta forma tienes razon.
Actualmente se esta ofreciendo la opcion de "expandir" o "descubrir" la URI de destino, si te das cuenta en http://search.twitter.com al buscar alguna URI, podras ver la opcion "expand" que te mostrara la URI completa, la misma opcion tiene TwitterFox, cuando pasas el mouse sobre la URI, te muestra la original.

No se cuanta gente sabe de esto, la mayoria solo hace click (la curiosidad mato al gato) y, mientras esto siga sucediendo, todo sera suceptible a algun ataque.

Anónimo dijo...

Muy interesante... pero dónde entonces ubicamos la utilidad de "ocultar" de alguna manera el destino? Es cierto que nos meteríamos (de alguna forma) en la boca del lobo pero gran parte de estos servicios se usan para camuflar intercambios de archivos...

Pablo Ruiz (Pci) dijo...

Y a mi que me encanta justo lo contrario.. las urls tipo "data" definidas en el RFC 2397...

Esto del 2.0.. es para pusilánimes ;)