Herramientas de detección de fraude Web. Renovarse o morir

Buenas,

Hace algún tiempo publiqué una pequeña guía para seleccionar herramientas de detección de fraude Web (WFD, Web Fraud Detection). En el mundo de la seguridad no existen opiniones unánimes sobre las herramientas de este tipo, ya que dependiendo de la organización, el sector en el que opera y las actividades Web a monitorizar pueden ser consideradas como de gran utilidad o por el contrario, de escaso valor añadido. Es frecuente ver este tipo de soluciones especialmente en banca a distancia y comercio electrónico, aunque también hay mercado para WFD en otros segmentos, como por ejemplo los servicios de tramitación en línea.

Las soluciones WFD tienen como prinicipal problema el propio avance de las técnicas empleadas por los amigos de lo ajeno, pero a veces también se topan con cambios introducidos por terceras partes no maliciosas que perjudican o dificultan la detección de la actividad fraudulenta.

Ejemplos de la continua evolución de la técnica en la industria del malware hay muchos, y uno de los casos que podemos mencionar es el de la familia ZeuS y su particular módulo BackConnect, que permite a los atacantes realizar los ataques desde las propias máquinas en las que se han obtenido las credenciales, con lo que la detección basada en identificación del dispositivo y en la ubicación usual del cliente se verá perjudicada o incluso anulada. En el mundo de los troyanos financieros hace ya bastante que los ataques se orientan al uso de credenciales desde la máquina donde han sido obtenidas, con la finalidad fundamental de anular los mecanismos de detección del fraude que se basan precisamente en detectar operativa fraudulenta considerando el dispositivo y la ubicación usuales del cliente.

Para complicar aún más las cosas, además de los avances por parte de los atacantes, tenemos los cambios en los aspectos técnicos de terceras partes que sirven para la detección. El último caso lo tenemos en Adobe, que ha anunciado cambios en su popular tecnología Flash que pueden y de hecho afectarán a las soluciones WFD. Cuando se publique Flash Player 10.1, cuyo lanzamiento se prevé a lo largo de los próximos dos meses, los usuarios contarán con mejoras en la privacidad que tendrán un impacto casi inmediato en el mercado WFD. Las funciones de privacidad en Flash se harán más notorias para los usuarios y se soportará la navegación privada.

Adobe sostiene que ha añadido estas funcionalidades para prevenir que determinados sitios Web hagan un uso malintencionado de las funcionalidades de almacenamiento local de Flash. Esta práctica se conoce como browser cookie re-spawning, y consiste en que las aplicaciones Flash pueden emplear el almacenamiento local en el equipo del usuario para reinstanciar cookies HTTP borradas por el usuario sin que exista ni noción ni consentimiento de la reinstanciación.

La postura de Adobe es clara y ya quedó patente en una carta remitida a la Federal Trade Comission norteamericana, en la que se opina explícitamente sobre la oposición al uso de las funcionalidades de almacenamiento local de Flash sin consentimiento del usuario. También en la carta hay un comunicado en el que Adobe asegura haber contactado con los fabricantes de navegadores para ver cómo integrar en la configuración de privacidad de los productos de navegación la privacidad relativa a Flash.

El problema para las soluciones WFD que respaldan sitios con tecnología Flash resulta obvio, ya que las cookies y objetos son utilizados para la detección de operativa fraudulenta, puesto que permiten asociar objetos a usuarios legítimos y por tanto, detectar la presencia de usuarios no legítimos. El debate que se abre es interesante, ya que equilibrar la balanza entre privacidad y prevención del fraude no es una tarea sencilla.

Bien sea por la mejora en la técnica de los atacantes o por los requisitos regulatorios y de privacidad, las soluciones de detección de fraude Web deben renovarse continuamente. O acabarán muriendo.

Un saludo,

Exploits 0-day a la venta. Confirmado nuevo 0-day para Adobe Acrobat y Reader

Buenas,

Comentar a estas alturas que los que los 0-day se venden no aporta novedad alguna. Encontrar vulnerabilidades y ponerlas a la venta posteriormente es un negocio lucrativo.

Lo que quizás sea más novedoso es que de la venta underground, sigilosa donde las haya, hemos pasado a la venta a los cuatro vientos. En este caso, el presunto descubridor (que no ha aportado prueba alguna sobre el presunto 0-day, todo sea dicho) ha empleado Twitter y Full Disclosure para anunciar la venta. Curioso cuando menos.

Por cierto, hablando de 0-day, los amigos de lo ajeno nos envían un año más su tradicional felicitación navideña. Adobe confirmó ayer que hay un nuevo exploit dando vueltas ahí­ fuera. No se sabe mucho del tema, salvo que las muestras que se han visto tienen como objetivo el motor JavaScript de los productos Adobe, con lo que a la espera de parches puede resultar prudente desactivar el soporte JavaScript. Para ello, en el menú Edición, seleccionad la opción Preferencias, y dentro de las opciones JavaScript, desactivar la casilla Activar JavaScript para Acrobat. En lo que a mí respecta, podéis dejar la casilla desmarcada por los siglos de los siglos, a no ser que sea preciso tratar JavaScript en algún documento PDF que os envíen. Ante casos como el descrito (y en general, siempre) no es recomendable abrir documentos PDF inesperados o que no procedan de fuentes confiables, lo que incluye lo que recibamos por correo así como los PDF que encontremos navegando en Internet.

No hay parches disponibles, y tampoco hay información exacta del impacto y los vectores de ataque, pero siendo algo orientado a algo tan popular como Adobe no debemos esperar nada bueno. Secunia se decanta por la ejecución de código abitrario y comenta que las versiones 9.2 y anteriores de Adobe Reader y Acrobat están afectadas. Cuidadito.

Un saludo,