13 enero 2014

Un año desenmascarando sitios web

desenmascara.me
Logo creado por: David Alegría


Un año ha pasado desde que publiqué el servicio web desenmascara.me, por su propia naturaleza, tenía la incertidumbre de como respondería y cuanto duraría online. Salió a la luz oficialmente a través de este post en SbD y ya ha cumplido 1 año. 

Aprovecho este aniversario para analizar a continuación el estado de los sitios web del post anterior:

  • http://www.scotiabank.com (sin actualizar durante un año)
  • http://www.rbs.co.uk (sin actualizar durante un año)
  • http://www.natwest.com (sin actualizar durante un año)
  • http://www.coverity.com (sin actualizar durante un año)
  • http://www.websense.com (sin actualizar durante un año)
  • http://www.safenet-inc.es (sin actualizar durante un año)
  • http://www.eeye.com (actualizado de IIS-6.0 a IIS-7.5)
  • http://www.avaya.com (actualizado de IIS-6.0 a Apache)
  • http://www.ey.com (sin actualizar durante un año)
  • http://www.mckinsey.com (actualizado de IIS-6.0 a ?. Actualmente no muestran información adicional, pero su archivo robots.txt les delata.)
  • http://www.acciona.es (sin actualizar durante un año)
  • http://www.enagas.es (sin actualizar durante un año)
  • http://www.endesaonline.com (sin actualizar durante un año)
  • http://www.telefonica.es (modificado de Sun-ONE-Web-Server/6.1 a no mostrar información adicional)
  • http://www.bancopopular.es (sin actualizar durante un año)

El propósito de este nuevo post es repasar de forma algo somera un año de actividad de este servicio y aprovechar para realizar un "call for contributors" (ver al final).

Empezaré publicando algunas estadísticas del servicio en el transcurso de este año:
  • Más de 13.500 sitios web analizados
  • 10.444 visitantes únicos
  • 35985 páginas vistas
  • 2:55 minutos de duración de media de cada visita
  • 75% visitantes nuevos y 25% que vuelven
La página principal del sitio dispone de un contador de sitios web analizados y sitios web con badware, en el momento de escribir este artículo es:
14035 sitios web desenmascarados desde Diciembre del 2012 / 456 con badware 


Seguiré con algunas conclusiones a través de la sección pública con estadísticas del servicio sobre sitios web que han sido comprometidos como por ejemplo:
  • La mayoria de sitios web con badware estaban sobre Apache
  • La cabecera HTTP powered-by no contenía información en la mayoría de ellos
  • El 56% de los sitios web con badware (del total de 456 al momento de escribir esto) tenían una puntuación menor a 20. La considerada como NO concienciado.
  • Los CMSs mas vulnerados son Joomla 1.5 y Wordpress, 3.5
  • El porcentaje total de sitios web analizados es ligeramente superior en terminos de concienciacion
  • .com es el dominio mayoritario de los sitios web con badware analizados, seguido de lejos por nuestro dominio .es

Plantearé algunos casos interesantes analizados:

Webs victimas de phishing
El pequeño sitio web http://weblnk.net
estaba siendo victima de un ataque phishing y actuaba sin su conocimiento como redirector (la carpeta de SPAM es una fuente de intel) concretamente a través del recurso:

http://weblnk.net//css/www.visa.com/Login.htm 

dirigía con la siguiente linea de codigo HTML a otra web que contenia un phishing de VISA:
<meta HTTP-EQUIV="REFRESH" content="0; url=http://3cellhosting.com//editor/visaglobal/index.php">
 
un rápido análisis de ambos sitios web mostraba un valor por debajo del considerado 'concienciado'.
http://desenmascara.me/consulta/9b542441f12db7193eb25c0c6ede25c0
http://desenmascara.me/consulta/8f5b5583c5ddb5973ffe843559c498ef

Un contacto para desmontar el anterior chiringuito me informó que el dueño de la primera web no la había tocado por lo menos en los últimos 3 anos. Por otra parte el propietario del segundo sitio web tenia conocimientos técnicos, pero por algunas razones que no llegue a comprender, tenia la web con Joomla 1.5.



Web víctimas de exploit kits

Caso 1.
La web de http://www.femmecomp.com/ contenía el siguiente iframe
hxxp://canoe-reviews[.]com/counter.php 

el cual llevaba al siguiente recurso:

hxxp://talkingfaterly8[.]org/webmasters/questions.php?survey=484&oracle=79&thumbs=785&serial=961&view=595

http://urlquery.net/report.php?id=1427126 (analisis detallado)

Otra vez, los 3 recursos anteriores mostraban una puntuación por debajo de lo considerado como 'sitio web concienciado con la seguridad'


Caso 2.
El caso de la web de  http://www.sem.dol.gov/ fue muy llamativo, los medios se hicieron eco, y AlienVault tiene un buen analisis del incidente.

De nuevo, un análisis con desenmascarame del anterior sitio web, arrojaba resultados de concienciación por debajo del umbral (avisando en este caso de un posible inyeccion).
http://desenmascara.me/consulta/3a6fe05b2ade6a011b5611892c822fe5


Fugas de informacion en el archivo robots.txt
El caso de la web de Caixa Catalunya http://www.catalunyacaixa.com tiene ya unos meses pero sorprendentemente todavía sigue ahí:
http://desenmascara.me/consulta/36af275607bff81f83470712c2ae5efa


Sitios web con defacements

De Argentina (deface activo mientras escribo este post)
http://www.direcciondejusticia.catamarca.gov.ar/
http://desenmascara.me/consulta/bdb39ca3e1531c98fb7557426642c4a4

De Brasil
http://www.crede03.seduc.ce.gov.br/
Restablecido ya pero se puede consultar en: http://www.zone-h.org/mirror/id/21514715
http://desenmascara.me/consulta/9aef07b9896696f53ab04f297bbb4de3

Incluso la tienda de ESET no se libra
http://www.zone-h.org/mirror/id/21066091
http://desenmascara.me/consulta/686e7093bf8385cd11ceb11c0952752b

Las webs anteriores, todas, no llegaban a la puntuación exigida para considerarlas como ´concienciadas con la seguridad'.

Por supuesto, el enfoque de valorar las cabeceras web y metadatos no es totalmente fiable, ya que otros vectores de ataque, como el uso de credenciales comprometidas, lo desvirtúa, pero si que puede ser válido para una primera aproximación.

La universidad de Vigo que sufrió un deface a finales de Mayo del año pasado
http://desenmascara.me/consulta/83a29e988064fe5b6e4f748a850013af
puntuaba por encima del nivel de concienciación, concretamente 35 puntos sobre 20.

Los ejemplos anteriores, muestran que el servicio desenmascara.me aunque no infalibe, sirve para situarnos de una forma muy rápida, y especialmente para gente que no dispone de conocimientos técnicos, sobre el estado de Seguridad y riesgos de cualquier sitio web. A más signos de securización detectados, mas puntuación, a mas signos de dejadez menor puntuación, así de simple.

Finalizo este artículo informando que esto es sólo un comienzo; hay que mejorar el análisis, implementar decenas de métodos y funcionalidades pendientes y darle una vuelta al diseño entre muchas otras cosas que estaré encantado de discutir con alguien verdaderamente interesado en colaborar con este proyecto.

Esta idea es una prueba de concepto, con mas de un año recopilando datos para seguir mejorandola. Si te apasiona investigar ejemplos como los anteriores, y crees que puedes aportar alguna habilidad al proyecto, no lo dudes; ponte en contacto conmigo.

Artículo cortesía de Emilio Casbas


4 comments :

Tom Hagen dijo...

Muy interesante la iniciativa y el resultado de la investigación

Santiago Bernal B dijo...

excelente herramienta, los felicito

WORLD LOAN dijo...

Estimado Señor / Señora,

mis nombres son el Sr. Antonion Ofrecemos préstamos privados, comerciales y muy personales con tasas de interés anuales mínimos de tan sólo el 3% dentro de 1 año a 40 años de amortización período de duración a cualquier parte del mundo. Y Damos préstamos dentro del rango de $ 2.000 a $ 100,000,000.00 préstamos USD.Our están bien asegurados y la máxima seguridad es nuestra prioridad, las personas interesadas deben ponerse en contacto con nosotros hoy a través de e-mail: worldfinance_loan@hotmail.com

Alvin Scott dijo...

Solicitud de préstamo con una tasa de interés baja de% (solicitante serio solamente) si está interesado póngase en contacto con nosotros ahora en: alvinscott12@outlook.com con la siguiente información a continuación.


Nombre Completo:
país:
Monto del préstamo:
duración:
Teléfono: