jueves, 29 de noviembre de 2012

Google Play y su absurda pregunta de seguridad

Personalmente, odio las preguntas de seguridad. Parecen un anacronismo en estos tiempos. Hablamos de ello en este artículo. Sin embargo siguen ahí, utilizándose en muchos servicios. El caso es que sinceramente, creo que he encontrado la pregunta de seguridad más absurda que se puede realizar en un servicio de seguridad. Lo raro es que el responsable sea Google Play.

Esto ocurrió hace unos días cuando un amigo, desde su nuevo teléfono con Android, comenzó a crearse una cuenta para utilizar Google Play. Cuesta creerlo.




Solamente espero que se trate de una mala traducción combinado con una errata (¿algo relacionado con el apellido de soltera de la madre?)... y aun así sería absurdo.

Por cierto, la víctima eligió esa pregunta, y usó su apellido real porque le parecía la pregunta más sencilla y por supuesto, completamente lógica.


viernes, 23 de noviembre de 2012

Falsa actualización de los navegadores que resulta en "suicidio"


De vez en cuando aparecen campañas de infección que nos sorprenden por su "buen hacer" u originalidad. Hemos descubierto hoy una página que, si bien no es nada del otro mundo técnicamente, pretende simular una actualización del navegador de manera convincente. Se trata de hxxp:// securebrowserupdate.com.

Según se visite con uno u otro navegador, muestra diferentes páginas muy personalizadas.
Todos los navegadores tienen su SP1, SP2... incluso con antivirus incluido.



Se adapta (más o menos) a cualquier cosa que la visite (y por supuesto, son rusos... ). 


Pero no descarga malware que no sea el ejecutable para Windows.

El ejecutable en sí simplemente instala un falso buscador en todos los navegadores, estableciéndolo además como página de inicio. El falso buscador en concreto es hxxp://ecostartpage.com/

El malware se copia a sí mismo en la carpeta temporal con el nombre de suicide.exe

El dominio fue dado de alta de día 16 de noviembre. No parece aprovechar ninguna vulnerabilidad. El que ha montado la web se ha olvidado de no mostrar abiertamente el índice de ficheros... hxxp://securebrowserupdate.com/js/ 

Cuando salió hace unos días era detectado por firmas por 7 motores, pero ahora ya lo detectan 22. 


viernes, 9 de noviembre de 2012

Escondiendo el email de las arañas de forma sencilla

Hoy hay muchas formas de evitar que las arañas encargadas de recoger correos por la web para enviar basura,  no vean los correos incrustados en la web. Una de ellas es usando imágenes con la dirección de email contenida en ella, pero esta opción nos impide poder usar adecuadamente la propiedad "mailto" de HTML. Otra de las técnicas utilizadas es el uso de JavaScript. Normalmente este tipo de arañas que van a la caza y captura de direcciones de correo electrónico, no interpretan el JavaScript que encuentran a su paso.

En este punto nos encontramos con dos maneras de conseguir el objetivo: por ofuscación o por "exclusión" de parte del contenido del email. Ofuscar el código es muy utilizado, por eso el método que muestro es el de exclusión. No es algo novedoso, pero si práctico y sencillo y como se verá no cuesta nada programarlo.

Para implementarlo usamos jQuery. Para los que no lo conozcan, es la librería para JavaScript que ha devaluado en los currículum el título de "experto en Javascript".

El pequeño consejo consiste en usar el siguiente código cada vez que queramos representar una dirección de email:

<span class='email'>spam</span>

La función que se encargará de realizar el cambio:

$(function(){
    $(".email").each(function(index) {
        var addr = $(this).text().replace(/\n/g,"").replace(/ /g,"");
        $(this).html('<a href="mailto:'+addr+'@hispasec.com" >'+ addr +'@hispasec.com</a>');
    });
});

Y el código resultante después de cargar la web, que será interpretado por el navegador... Por supuesto, se pueden realizar combinaciones con otros métodos para hacerlo más complejo.

<a href="mailto:spam@hispasec.com">spam@hispasec.com</a>