jueves, 29 de diciembre de 2005 1 comentarios

Sistema anti-phishing de Gmail

Hoy me he sorprendido al ver en mi bandeja de entrada de Gmail un correo de Cajamadrid. Dado que no soy cliente suyo he sospechado directamente que se trataba de un ataque de phishing y he ido a ver el correo por curiosear sobre cómo esta vez intentan engañar al usuario.

Al abrir el correo me he llevado una sorpresa muy grata al ver lo que a continuación muestro mediante la captura de la pantalla:


Gmail me avisaba directamente de que el correo que he recibido era sospechoso y venía una cabecera en rojo con el siguiente texto:

"Advertencia: Es posible que este mensaje no haya sido enviado por la persona que aparece como remitente. Le aconsejamos que no haga clic en ningún vínculo ni facilite información personal a dicho remitente."

Parece que tal como dicen en el Centro de Asistencia,Gmail esta probando un sistema anti-phishing basado en la notificación por parte de los usuarios de información sobre este tipo de incidentes. Dado el carácter didáctico del texto del Centro de Asistencia, lo cito textualmente.

"El spam toma varias formas, por ejemplo, se puede presentar en forma de mensajes fraudulentos. Este tipo de envío masivo se denomina "spoofing" (suplantación de identidad) o "password phishing" (suplantación de identidad para obtener contraseñas).
Se trata de prácticas fraudulentas que se llevan a cabo mediante mensajes que parecen proceder de fuentes legítimas o bien mediante la creación de páginas web aparentemente oficiales que solicitan su nombre de usuario y contraseña u otra información personal. Estos mensajes o páginas web pueden solicitar que proporcione su Número de la Seguridad Social, su número de cuenta bancaria, su número de identificación personal (PIN), números de tarjetas de crédito, el nombre de soltera de su madre o la fecha de nacimiento.

Los emisores de spam suelen solicitar este tipo de información con la intención de robarle su cuenta de Gmail, su dinero, su crédito o su identidad.

Actualmente, estamos probando un servicio diseñado para alertar a los usuarios de Gmail de los mensajes que forman parte de un ataque por "phishing". Cuando el equipo de Gmail detecte ataques de este tipo, los datos de estos mensajes se utilizarán para identificar automáticamente posibles ataques por "phishing" en el futuro.

Resultado: cuando un usuario abra un mensaje que Gmail considere un ataque por phishing, se mostrará una advertencia.

Las alertas por ataques de phishing funcionan de manera automática, de forma parecida al sistema de filtraje que se emplea para el spam. Este mecanismo desvía de forma automática los mensajes que se consideran spam a la carpeta 'Spam'. De modo similar, las alertas por phishing que utiliza Gmail muestran advertencias automáticamente e indican al usuario que el mensaje que ha recibido podría ser fraudulento para que actúe con precaución a la hora de proporcionar información personal.

Debe desconfiar siempre de los mensajes o páginas web que solicitan información personal. Si recibe un mensaje de este tipo, sobre todo si dice provenir de Google o Gmail, por favor, no proporcione la información que en él se indica.

A continuación le indicamos qué puede hacer para proteger sus datos personales y detener las prácticas fraudulentas:

- Asegúrese de que la URL de dominio de la página que se indica es correcta y haga clic en alguna de las imágenes o vínculos para comprobar que el sitio le redirecciona a las páginas pertinentes. Por ejemplo, la URL de Gmail es http://mail.google.com/ o, para mayor seguridad, https://mail.google.com/. Aunque algunos vínculos contengan 'gmail.com', es posible que se le redireccione a otro sitio al introducir en su navegador la dirección que se proporciona.

- Siempre que se disponga a introducir información confidencial, como su contraseña, asegúrese de que en la barra de estado de la parte inferior de la ventana de su navegador aparece el icono de candado cerrado.

- Revise las cabeceras de los mensajes. En estos casos de prácticas fraudulentas, el campo 'De:' suele manipularse para mostrar un nombre de remitente falso. Información sobre cómo visualizar cabeceras.

- Si todavía tiene dudas sobre la veracidad del mensaje, póngase en contacto con la organización que lo envía, pero nunca utilice la dirección de respuesta del mensaje, ya que podría ser falsa. Le recomendamos que visite la página web oficial de la organización y busque una dirección de contacto distinta.

- Si por medio de un mensaje de "spoofing" o "phishing" ha proporcionado su información personal o de cuenta, tome las medidas pertinentes lo antes posible. En caso de haber indicado los números de su tarjeta de crédito o cuenta bancaria, póngase en contacto con su banco. Si cree que ha sido víctima de una suplantación de identidad, póngase en contacto con la policía local.

Gmail no envía mensajes masivos no solicitados en los que se solicitan contraseñas o información personal. Si sospecha que su cuenta de Gmail ha sido interceptada, envíenos un mensaje a la dirección gmail-abuse@google.com. Por favor, incluya la cabecera del mensaje sospechoso y el texto completo.
*Si nuestro sistema identifica un mensaje como "phishing", pero usted ha validado la fuente desde la que se ha originado, haga clic en 'No denunciar como phishing' para hacernos saber que el mensaje es legítimo. Y si recibe un mensaje de este tipo que nuestro sistema de detección de "phishing" no lo ha identificado, haga clic en 'Denunciar phishing' para enviar una copia del mensaje al equipo de Gmail."


Centro de asistencia Gmail.
miércoles, 28 de diciembre de 2005 0 comentarios

Cuadros de mando de la seguridad

Los Directores y Responsables de la seguridad están cada vez más tratando de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Estos "cuadros de mando de la seguridad" deben servir para orientar a los procesos de negocio entorno a los requisitos que en materia de seguridad deben garantizar. Para ello es importante contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones en base o bien a deficiencias detectadas o bien a necesidades de mejora.
Dada la reciente aparición de la gestión de la seguridad como un pilar estructural dentro de las organizaciones, ocurre que en instituciones donde la seguridad no es todavía un área o proceso interno con suficiente madurez, introducir estos conceptos de medición y control suele ser complicado. Para ello, el responsable de la gestión de la seguridad debe diseñar y definir claramente una serie de métricas que le lleven a poder defender con rotundidad sus argumentos de cara a producir cambios o solucionar deficiencias de la organización. El documento que hoy referencio tiene por objetivo plantear una serie de cuestiones de cara a construir un "cuadro de mandos de la seguridad de la información" dentro de una organización.

El documento puede descargarse vía Infosecwriters en el enlace Security Metrics: Business Unit Scorecard
martes, 27 de diciembre de 2005 0 comentarios

Instalar aplicaciones con privilegios de administrador

En un reciente curso que he impartido de Seguridad en entornos Windows 2000/2003 me hicieron una pregunta en relación a la implementación del principio de mínimos privilegios.

Queda muy bonito a nivel teórico decir que el "usuario" siempre debe correr con los mínimos privilegios en el sistema pero luego la practica siempre plantea problemas para poder aplicar este principio básico de seguridad.

Leo vía Michael Millers Blog un truco para permitir la instalación de paquetes msi con diferentes privilegios a los del usuario que esté corriendo gracias al comando "Run As". Para ello, hay que modificar el registro para permitir que la opción run as aparezca con el comando msiexec.

1.- Ejecutar regedit.exe bajo una cuenta con privilegios de administrador

2.- Crear la clave de registro HKEY_CLASSES_ROOT\Msi.Package\shell\runas
3.- Poner el valor por defecto a "Install &as..."

4.- Crear la clave de registro HKEY_CLASSES_ROOT\Msi.Package\shell\runas\command
5.- Poner el valor por defecto a msiexec /i de "%1"

Y listo, ya podremos instalar archivos .msi con privilegios de administrador. Para más información podéis consultar este truco en Michael Millers.
lunes, 26 de diciembre de 2005 0 comentarios

Registro de paginas atacadas mediante Phishing

Existen varias fuentes que va registrando todos los ataques de tipo phishing detectados y reportados. Puede ser interesante el consultar este tipo de webs para confirmar las sospechas que podamos tener sobre un correo extraño o una Web sospechosa.

Entre las fuentes que presentan un registro de la pagina phishing y la página original esta:
- Websensesecuritylabs.com
jueves, 1 de diciembre de 2005 0 comentarios

Hay ataques y ataques....

Leo vía Infosecwriters que dentro de los conocidos como ataques de hacking ético hay diferentes tipologías y diferentes objetivos de medición. En la norma ISO 17799:2005 aparece en el control 6.1.8 "Revisiones independientes de la seguridad de la información". Es muy habitual que los administradores de sistemas y responsables de seguridad contraten a empresas de "hacking ético" para la realización de Test de Intrusión. Ya hace unos años, todas las empresas de seguridad informática trataron de establecer qué debía entenderse por un test de este tipo, dada la confusión de los clientes al no saber exactamente que debían esperar de un servicio así. En ese momento apareció el Instituto ISECOM con su metodología Open Source Security Testing Methodology (OSSTMM). En aquel momento se trató de aclarar que pasos debían realizarse en un supuesto test de intrusión. Dada la cantidad de empresas que daban este servicio, era importante identificar las actividades y fases a desplegar para realizar un ataque de este tipo y los resultados que debían entregarse al cliente.

El documento que hoy referencio va también en esa misma linea. Y es que hay ataques y ataques y por tanto, hay formas y formas de implantar el control 6.1.8 de la ISO 17799:2005.

Como siempre que se decide hacer algo, lo primero que se debe tener claro es cuál es su objetivo y que decisiones se van a tomar con los resultados obtenidos.

Este documento establece los tipos de ataques que existen y qué objetivos de medición tienen. No es lo mismo hacer un test de intrusión externo, donde queremos identificar las vulnerabilidades visibles de nuestros sistemas de información, que un test de vulnerabilidad de nuestros sistemas donde queremos detectar y corregir aquellos problemas de configuración y administración de sistemas que no hayamos detectado.
Aunque ambos tipos de servicios comparten fases, los resultados que se obtienen son diferentes.
Para más información leer el documento Infosecwriters: Types of Security Testing
 
;