viernes, abril 16, 2010

Filtrado de URLS en WebBrowsers

El volumen de malware desplegado en el mundo hoy en día es brutal. Basta con seguir un poco las noticias para leer que se está utilizando cualquier noticia de actualizada para utilizar Black SEO y conseguir visitas a URL maliciosas que contienen malware, campañas de spam o trucos de ingeniería social en anuncios y redes sociales para conseguir que un usuario haga clic en un link y vaya a una URL que lo intente infectar [que se lo digan a los sysadmin de Apache].

Para evitar esto los navegadores incorporan sistemas de protección contra URLS maliciosas basados en técnicas heurísticas y en listas negras que intentarán proteger al usuario de la navegación a esa URL. En ese caso aparecerán alertas, bloqueos en los navegadores etc...

La empresa NSSLab ha estado trabajando activamente en comparar los resultados de los filtros de protección contra URLs maliciosas que utilizan los distintos navegadores y, durante el mes de febrero, publicaron sus resultados.

El estudio se hizo sobre 1.750 URLS maliciosas que iban siendo recogidas y que estaban activamente siendo utilizadas para intentar infectar a los usuarios que las visitaran. Y, los resultados hablan por si sólo.


Internet Explorer 8 a gran distancia

En este caso, como se puede ver, los acuerdos que los equipos de seguridad que Microsoft ha realizada con todos los organismos implicados en la protección de los sitemas: Gobiernos, organizaciones de usuarios, CERTS, empresas dedicadas a seguridad, etc... hace que tengan una base de datos muy actualizada de URLs maliciosas. Yo aquí, en España conozco a bastantes empresas/organizaciones que colaboran con la alimentación de estas bases de datos de forma activa.

Esta alimentación activa hace que, a lo largo del tiempo, Internet Explorer 8 sea el que más ratio alcanza en la detección de estas URLs en virtud a su tecnología SmartScreen y, como se puede ver, con el sistema heurístico ya reconoce más en hora 0 que lo que alcanza todos los demás en día 5.


Evolución en la detección de URLs maliciosas

Puedes descargarte el estudio actualizado de Febrero de 2010 y la versión anterior de Julio de 2009.

Saludos Malignos!

10 comentarios:

Juan Antonio Calles dijo...

Tiene muy buena pinta el estudio, hace un par de meses me enviaron un correo de phishing de Caja Madrid, probé desde ie7, firefox y después con ie8, todos ellos desde máquina virtual. Y firefox fue el único que me dejó entrar sin darme ningún tipo de aviso, ie7 me avisó previamente e ie8 se puso de color rojo avisando con un mensaje que estaba entrando en un sitio conocido por un intento de phishing. Creo que con ie está haciendolo muy bien MS

agux dijo...

Anticipándome a la retaila de mensajes que vaticino que van a llegar... Es precisamente lo que comentas: al tener acuerdos con tantas instituciones relacionadas con esto, es lo que hace que su BB.DD sea más grande.

Anónimo dijo...

Chema, de nuevo confundes términos, ya no sé si queriendo o sin querer.

Un ataque dirigido (targeted) como el que mencionas contra la gente de Apache no lo va a detectar ningún sistema de filtrado por listas negras, ni de IE ni de ningún otro navegador. Así que la referencia al mismo sólo confunde a la gente.

Y, respecto al tema del artículo, me parece estupendo que haya filtrado de URL maliciosas, pero a estas alturas de la película deberíamos saber todos que los sistemas de listas negras (antivirus, filtrado de URL por listas negras, etc.) no funcionan: ya nadie configura cortafuegos con políticas de "permitir por omisión", y mucha gente está usando cosas como Bit9, o el mismo UAC de Windows que requiere que el usuario decida sobre cada accesso privilegiado. Como mecanismo de defensa en profundidad, bueno, no está mal tener algo así, pero no esperes que esto le "salve la vida" a nadie.

Maligno dijo...

@anónimo, lo de Apache era un chiste para ilustrar lo peligroso de un mal clic. Tengo clara la diferencia. Es un detalle entre corchetes, lo que significa offtopic, dentro del artículo.

Creo que se entiende bien el artículo y que lo de Apache, que ya le hice otro post, está bien explicado en allí.

Saludos!

Rigolox dijo...

Qué raro, no has recibido críticas de los anti-IE o alabanzas de los pro-IE, será que es fin de semana.

Os dejo un enlace sobre lo que se habla aquí.


http://blog.segu-info.com.ar/2010/04/cuidado-con-vacunar-te-puedes-infectar.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+NoticiasSeguridadInformatica+%28Noticias+de+Seguridad+Inform%C3%A1tica%29

NaCl u2

globalillo dijo...

Dejando claro que no entiendo porqué un navegador tiene que hacer labores de antivirus, tampoco entiendo la lentitud de Microsoft en proteger sus sistemas. Si no me equivoco, Microsoft es el único que además tiene un antivirus en sus filas.

--
Ésto en Linux no pasa }:)

Anónimo dijo...

globalillo:como va a pasar si no lo usa nadie,salvo que venga con un protector de pantalla

Anónimo dijo...

Aqui puedo reconocer que IE es bueno en este sentido, en la ultima prueba de hack, la de los navegadores IE fue el mas dificil de vulnerar

Andor dijo...

Es curioso que tengan diferente curva Safari y Firefox, cuando creo que utilizan la BBDD.

Yo, en cualquier caso, intento hilarlo cada vez más fino, bloqueando también las URLs maliciosas directamente desde el servidor de correo, o desde DNS... aunque no se si es un poco overkill para ser la configuración sólo de mi casa :D

Andor dijo...

Donde dije "la BBDD" quise decir "la misma BBDD"... qué cabeza, señor, qué cabeza...

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares