Lo de Pokemon Go está dando que hablar. Hoy leo que un individuo se puso a trepar por la fachada del hotel Arts de Barcelona, el edificio más alto de la ciudad, en medio de una peculiar partida.
Que se indique que el protagonista de la historia es un experto en parkour y que grabó la gesta en video me hace pensar en una búsqueda de publicidad y notoriedad. Pero no es la primera persona que se mete en líos: ha habido incluso casos en los que los jugadores se han introducido en una propiedad privada buscando monstruos que capturar y los propietarios han disparado sobre ellos. Y también se han dado caso de ladrones que, sabiendo que la gente iba a buscar a un pokemon en un determinado lugar, se han colocado por las inmediaciones a la espera de un incauto al que asaltar.
En el futuro, es probable que Niantic, la desarrolladora del juego, busque formas de hacer caja. Una que se me ocurre es la "aparición esponsorizada": que restaurantes, cines, parques de ocio y otros establecimientos paguen para que en sus instalaciones aparezcan una serie de monstruos u objetos virtuales. Esto no debería ser demasiado preocupante... a no ser que caiga en malas manos.
Se me ocurren varias formas en que algo así podría ser explotado con fines perversos. Desde "simpáticos" ataques de denegación de servicio, llenando una oficina de jovenzuelos, y no tan jovenzuelos, que anden por allí mirando el móvil o colpasando de forma parecida el tráfico hasta deleznables intentos de engañar a menores para que se acerquen a un lugar, pasando por reventar manifestaciones haciéndolas coincidir con una multitudinaria partida de entrenadores. El futuro dirá...
Pero el pasado ya habló y me preocupó lo que oí. En particular la noticia de que la aplicación requería inicialmente, en su versión para iOS, permisos completos de acceso a la cuenta de Google.
Ciertamente, no tardó mucho en aparecer una nueva versión con muchos menos requisistos, pero... ¿para qué tanto acceso? Porque una cuenta Google es búsquedas, calendario, correo y mucho más. A bote pronto, encuentro tres explicaciones:
1.- Que se hiciera todo el desarrollo de forma correcta, pero que, en el último momento y por error,
se hubiera configurado unos permisos inadecuados. Que en la nota del enlace anterior se indique que "en cuanto supimos de este error, empezamos a trabajar para encontrar una solución" y que ésta no estuviera disponible cuando se publicó el aviso me hace pensar que hay algo más. Que el problema radicaba en otro sitio y no tenía una solución tan obvia.
2.- Esta es más conspiranoica y vaya por delante que la considero errónea: Que la empresa quisisera acceder a toda esa información para crear perfiles para rastreo, publicidad personalizada y tantas otras cosas que hoy día tanto se estilan. Eso, desde luego, sería preocupante. Pero parece que no es el caso.
3.- Que, para acelerar el desarrollo, alguien dijera "vamos a quitarnos una preocupación de encima" y
los permisos o bien no hubieran sido establecidos desde el princio o bien hubieran sido ampliados de forma descontrolada para solucionar algún problema de funcionamiento. Espero que no sea eso porque lo de "permiso total y así seguro que funciona todo" es un mal principio de diseño. Un síntoma de sistema en cuyo ciclo de vida la seguridad se dejó para más adelante y en el que, por tanto, ésta tendrá poca cabida y no terminará de encajar.
Si a alguien se le ocurre otra...
miércoles, 27 de julio de 2016
domingo, 24 de julio de 2016
Biometría: Identificación, Autenticación o Autorización
El otro día hablábamos sobre esos sistemas que te permiten elegir una pregunta y una respuesta para restablecer tu contraseña en caso de olvido. De cómo muchos sistemas, aunque almacenan cifrada la contraseña, guardan en texto claro la respuesta secreta. Y alguien me dijo: "cuando se generalicen los sistemas de autenticación biométricos, eso ya dejará de ser un problema".
Es verdad que, con la velocidad con la que cambia todo, predecir cómo serán las cosas dentro de diez años es complicado pero, por ahora, a mí la idea no termina de convencerme. No sólo por las implicaciones que pudiera tener para nuestra privacidad, que ya de por si pueden ser preocupantes, sino por el estado actual de la tecnología.
El año pasado, Yulong Zhang y Tao Wei presentaron en Black Hat la ponencia "Fingerprints on Mobile Devices: Abusing and Leaking". En ella nos hablaban, entre otros temas, de la diferencia entre Autenticación y Autorización y lo ilustraban con algunos ejemplos. Como que un Documento Nacional de Identidad puede ser un mecanismo de Autenticación mientras que una VISA puede serlo de Autorización en el momento de disponer de dinero para realizar una compra. En otras palabras, la diferencia entre "Quién eres" y "Qué puedes hacer".
La diferencia llega a ser sutil en algunos casos en los que no sabemos realmente qué estamos haciendo. Depende del contexto. Un mismo gesto puede servir para desbloquear el teléfono o para autorizar un pago. El mecanismo es parecido, pero el objetivo puede ser muy distinto.
A partir de ahí la ponencia trata sobre formas en que se puede engañar a los sensores de huella y cómo robar los datos biométricos y replicarlos para suplantar la identidad e ideas parecidas.
Pueden "robarte la huella" y falsificarla. Y lo peor es que tu huella dactilar no es algo que puedas cambiar fácilmente. Te dura toda la vida. Y me quejo yo de que la gente no renueve las contraseñas con frecuencia...
Se me vienen a la cabeza otros casos relacionados. Como el del engaño al mecanismo de desbloqueo facial de Android mediante fotos o videos. O la de aquel antiguo caso en que se utilizó cinta adhesiva para engañar el sistema de control de acceso mediante huella dactilar a los aeropuertos.
O un producto llamado Identity que encontré referenciado en el blog de MalwareBytes: Una especie de "tirita" o "curita" que te pones en el dedo y que lleva una huella dactilar falsa (cada "tirita" lleva una distinta).
Como medida de protección de tu intimidad o como forma de tener una "contraseña" que puedas cambiar, vale. Pero lo que en definitiva se está haciendo es acabar con la componente biométrica. Cambiar lo de "algo que forma parte de tu cuerpo" por un tradicional "algo que tienes".
Y es una tendencia que, para salvaguardar la intimidad, creo que irá al alza. Y que no deja de poner más en duda, si cabe, la validez de la huella dactilar como mecanismo de autenticación. Por no hablar del "no repudio".
Por no hablar de una de las cosas que aparecen en un artículo relacionado:
"Courts have also recently ruled that fingerprints aren't covered under the Fifth Amendment's protections against self-incrimination: Unlike with a passcode, police can force suspects to unlock a phone with a fingerprint if arrested, without a warrant.".
Traduciendo: que un juez no puede obligarte en los EEUU a darle tu contraseña, pero sí a poner el dedo en un sensor.
Y es que, tal y como están las cosas, viendo estos mecanismos biométricos "de andar por casa", tengo la impresión de que son más válidos como sistemas de identificación que como de autenticación o autorización. Más para indicar quién eres que para establecer una seguridad razonable acerca de tu identidad o dejarte hacer algo.
Más como el identificador o la cuenta de usuario que como la contraseña.
Es verdad que, con la velocidad con la que cambia todo, predecir cómo serán las cosas dentro de diez años es complicado pero, por ahora, a mí la idea no termina de convencerme. No sólo por las implicaciones que pudiera tener para nuestra privacidad, que ya de por si pueden ser preocupantes, sino por el estado actual de la tecnología.
El año pasado, Yulong Zhang y Tao Wei presentaron en Black Hat la ponencia "Fingerprints on Mobile Devices: Abusing and Leaking". En ella nos hablaban, entre otros temas, de la diferencia entre Autenticación y Autorización y lo ilustraban con algunos ejemplos. Como que un Documento Nacional de Identidad puede ser un mecanismo de Autenticación mientras que una VISA puede serlo de Autorización en el momento de disponer de dinero para realizar una compra. En otras palabras, la diferencia entre "Quién eres" y "Qué puedes hacer".
La diferencia llega a ser sutil en algunos casos en los que no sabemos realmente qué estamos haciendo. Depende del contexto. Un mismo gesto puede servir para desbloquear el teléfono o para autorizar un pago. El mecanismo es parecido, pero el objetivo puede ser muy distinto.
A partir de ahí la ponencia trata sobre formas en que se puede engañar a los sensores de huella y cómo robar los datos biométricos y replicarlos para suplantar la identidad e ideas parecidas.
Pueden "robarte la huella" y falsificarla. Y lo peor es que tu huella dactilar no es algo que puedas cambiar fácilmente. Te dura toda la vida. Y me quejo yo de que la gente no renueve las contraseñas con frecuencia...
Se me vienen a la cabeza otros casos relacionados. Como el del engaño al mecanismo de desbloqueo facial de Android mediante fotos o videos. O la de aquel antiguo caso en que se utilizó cinta adhesiva para engañar el sistema de control de acceso mediante huella dactilar a los aeropuertos.
O un producto llamado Identity que encontré referenciado en el blog de MalwareBytes: Una especie de "tirita" o "curita" que te pones en el dedo y que lleva una huella dactilar falsa (cada "tirita" lleva una distinta).
Como medida de protección de tu intimidad o como forma de tener una "contraseña" que puedas cambiar, vale. Pero lo que en definitiva se está haciendo es acabar con la componente biométrica. Cambiar lo de "algo que forma parte de tu cuerpo" por un tradicional "algo que tienes".
Y es una tendencia que, para salvaguardar la intimidad, creo que irá al alza. Y que no deja de poner más en duda, si cabe, la validez de la huella dactilar como mecanismo de autenticación. Por no hablar del "no repudio".
Por no hablar de una de las cosas que aparecen en un artículo relacionado:
"Courts have also recently ruled that fingerprints aren't covered under the Fifth Amendment's protections against self-incrimination: Unlike with a passcode, police can force suspects to unlock a phone with a fingerprint if arrested, without a warrant.".
Traduciendo: que un juez no puede obligarte en los EEUU a darle tu contraseña, pero sí a poner el dedo en un sensor.
Y es que, tal y como están las cosas, viendo estos mecanismos biométricos "de andar por casa", tengo la impresión de que son más válidos como sistemas de identificación que como de autenticación o autorización. Más para indicar quién eres que para establecer una seguridad razonable acerca de tu identidad o dejarte hacer algo.
Más como el identificador o la cuenta de usuario que como la contraseña.
miércoles, 20 de julio de 2016
Adivinanza
Estaba yo esperando que me prepararan una pizza para llevar cuando alguien aparcó el coche en doble fila y salió a la calle.
Aunque no le conocía de nada, ni siquiera me hizo falta mirarle a la cara para saber su nombre.
Y no: no lo llevaba escrito en la ropa ni el coche lo anunciaba en modo alguno ni nada por el estilo.
No. Lo que pasó es que yo andaba jugando con mi móvil y, por accidente, le había dado al botón de "Buscar dispositivos Bluetooth". El coche paró y, en menos de un segundo, me aparecieron dos dispositivos. Uno con un nombre curioso, que me callo y que supongo que sería el equipo de audio del vehículo y otro que se llamaba "Javier".
En el paseo de vuelta a casa, mi cacharro siguió encontrando cosas con nombres como:
[TV]Samsung LED46
Nokia C2-01
BLACKBERRY-C140
Juan (Galaxy A5)
CRISTINA-PC
Y muchos más. Realmente, me sorprendió el número de personas que llevan activado y visible el Bluetooth de su smartphone.
Lo interesante en este caso es que el alcance de Bluetooth es bastante limitado con lo que se puede determinar con relativa precisión dónde se encuentra cada dispositivo hallado. En el caso de un móvil, que suele tener un adaptador de Clase 2 (haz clic aquí si quieres más información sobre el tema), estaríamos hablando de entre 5 y 10 metros.
En pocas palabras, puedes enterarte de que el vecino compró ya su nueva tele y saber qué modelo o qué tamaño tiene. Y si la tiene encendida o no. O "adivinar" el terminal telefónico que alguien tiene en el bolsillo. Nno olvidemos que, en última instancia, cada adapatador Bluetooth tiene una MAC y ésta nos identifica a su fabricante y éste, a su vez, puede ser indicio de la marca y modelo del equipo en que está instalado.
O, como antes, el nombre de una persona.
O, si de hablar de los vecinos se trata, moverte por las habitaciones de tu piso e ir haciendo un "mapa" de qué cacharro hay en cada habitación de los pisos de arriba o abajo. Con un poco de trabajo y suerte puedes terminar sabiendo de quién es cada dispositivo y si en el dormitorio hay un teléfono o dos.
Y si alguno de ellos no es de los habituales.
En definitiva, que si tu privacidad te importa... ya sabes: desactiva el Bluetooth, hazlo no detectable o, mejor aún, ambas cosas. Y, por otro lado, que durante una prueba de intrusión puede ser interesante saber qué dispositivos hay por ahí sueltos, aunque no llegues a verlos. Y que, desde el punto de vista de un ataque de Ingeniería Social, saber cómo se llama y qué teléfono tiene el vigilante de la entrada, por decir algo, puede darte un poquito de ventaja.
Para quien quiera jugar un rato desde su PC, hay dos herramientas de Nirsoft gratuitas y sencillas con las que entretenerse. La primera, BluetoothView, muestra los dispositivos que va detectando:
Y la otra es BluetoothLogView. No es muy distinta de la anterior, pero va indicando cuándo encuentra y cuándo deja de detectar cada dispositivo. Vaya por delante el aviso de que tarda un ratito en actualizar los datos:
Aunque no le conocía de nada, ni siquiera me hizo falta mirarle a la cara para saber su nombre.
Y no: no lo llevaba escrito en la ropa ni el coche lo anunciaba en modo alguno ni nada por el estilo.
No. Lo que pasó es que yo andaba jugando con mi móvil y, por accidente, le había dado al botón de "Buscar dispositivos Bluetooth". El coche paró y, en menos de un segundo, me aparecieron dos dispositivos. Uno con un nombre curioso, que me callo y que supongo que sería el equipo de audio del vehículo y otro que se llamaba "Javier".
En el paseo de vuelta a casa, mi cacharro siguió encontrando cosas con nombres como:
[TV]Samsung LED46
Nokia C2-01
BLACKBERRY-C140
Juan (Galaxy A5)
CRISTINA-PC
Y muchos más. Realmente, me sorprendió el número de personas que llevan activado y visible el Bluetooth de su smartphone.
Lo interesante en este caso es que el alcance de Bluetooth es bastante limitado con lo que se puede determinar con relativa precisión dónde se encuentra cada dispositivo hallado. En el caso de un móvil, que suele tener un adaptador de Clase 2 (haz clic aquí si quieres más información sobre el tema), estaríamos hablando de entre 5 y 10 metros.
En pocas palabras, puedes enterarte de que el vecino compró ya su nueva tele y saber qué modelo o qué tamaño tiene. Y si la tiene encendida o no. O "adivinar" el terminal telefónico que alguien tiene en el bolsillo. Nno olvidemos que, en última instancia, cada adapatador Bluetooth tiene una MAC y ésta nos identifica a su fabricante y éste, a su vez, puede ser indicio de la marca y modelo del equipo en que está instalado.
O, como antes, el nombre de una persona.
O, si de hablar de los vecinos se trata, moverte por las habitaciones de tu piso e ir haciendo un "mapa" de qué cacharro hay en cada habitación de los pisos de arriba o abajo. Con un poco de trabajo y suerte puedes terminar sabiendo de quién es cada dispositivo y si en el dormitorio hay un teléfono o dos.
Y si alguno de ellos no es de los habituales.
En definitiva, que si tu privacidad te importa... ya sabes: desactiva el Bluetooth, hazlo no detectable o, mejor aún, ambas cosas. Y, por otro lado, que durante una prueba de intrusión puede ser interesante saber qué dispositivos hay por ahí sueltos, aunque no llegues a verlos. Y que, desde el punto de vista de un ataque de Ingeniería Social, saber cómo se llama y qué teléfono tiene el vigilante de la entrada, por decir algo, puede darte un poquito de ventaja.
Para quien quiera jugar un rato desde su PC, hay dos herramientas de Nirsoft gratuitas y sencillas con las que entretenerse. La primera, BluetoothView, muestra los dispositivos que va detectando:
Y la otra es BluetoothLogView. No es muy distinta de la anterior, pero va indicando cuándo encuentra y cuándo deja de detectar cada dispositivo. Vaya por delante el aviso de que tarda un ratito en actualizar los datos:
lunes, 11 de julio de 2016
Las preguntas para restablecer la contraseña
Un día, hace ya mucho tiempo, alguien inventó eso de que los usuarios tengan una pregunta secreta (y su correspondiente respuesta) para restablecer su contraseña en caso de olvido. Y debió entender que era una buena idea. Al menos, puede parecerlo para los administradores de sistemas, sobre todo cuando el número de cuentas implicadas es elevado.
Pero la comodidad no suele llevarse bien con la seguridad.
Para empezar, como he escrito alguna otra vez, está el tema de los nombres: es importante cómo llamamos a cada cosa. Porque si decimos que es una "contraseña" la gente tiene claro que debe ser algo secreto y difícil de adivinar pero si hablamos de "recordatorio"... la cosa cambia. Ahora es algo que tenemos que recordar o nos tiene que recordar la contraseña. Y si le ponemos sólo "pregunta", ya no pasa de algo que hay que saber responder.
Por no hablar de aquellos sistemas en los que lo que se nos pide es nuestra fecha de nacimiento o un dato similar.
Que todo esto no es una buena práctica es algo que nadie debería poner en duda. Abusando de estos mecanismos es como en su día cayeron en malas manos cuentas de correo como la de Sarah Palin.
Hace poco detecté y comuniqué un caso en el que podían obtenerse los datos de las cuentas de usuario de un sistema y utilizaban este procedimiento para restablecer credenciales. Y, como casi siempre, me dio en qué pensar.
Al fin y al cabo, estas preguntas y sus correspondientes respuestas terminan no siendo más que otra contraseña. Pero no una "contraseña adicional", sino una "contraseña alternativa". No una condición de tipo AND, sino OR.
Y lo malo de tener dos contraseñas alternativas es que basta con saber una cualquiera de ellas para hacerse con el control de la cuenta. Ya se sabe: lo del eslabón más débil...
Pero, con todo lo grave que esto pueda ser, hay algo que, a largo plazo, puede ser aún más preocupante: la gente, consciente de que si olvida la respuesta no podrá restablecer sus claves de acceso, suele poner preguntas relacionadas con su vida privada.
Cuando esas respuestas están en Internet, como ocurrió con la por entonces candidata a la presidencia de los EE.UU., la cuenta queda comprometida al primer intento.
Pero... ¿Y si no lo están? Pongamos que alguien pone una pregunta del tipo "¿Cómo se llama mi esposa?" y que ese dato no está publicado en ningún sitio. Entonces, un atacante podría empezar a realizar pruebas, realizando un ataque de diccionario y, con algo de suerte, podría obtener una información que le ayude a realizar un perfil más completo de su víctima.
Pienso en qué pasaría si hubiera sido alguien con malas intenciones, y no yo, quien hubiera encontrado aquella base de datos de usuarios. Imaginad, preguntas como:
Imaginad estas preguntas con sus correspondientes respuestas. Pensad en lo útiles que pueden ser para preparar un ataque de ingeniería social.
Pensad en las implicaciones para la privacidad.
Pero la comodidad no suele llevarse bien con la seguridad.
Para empezar, como he escrito alguna otra vez, está el tema de los nombres: es importante cómo llamamos a cada cosa. Porque si decimos que es una "contraseña" la gente tiene claro que debe ser algo secreto y difícil de adivinar pero si hablamos de "recordatorio"... la cosa cambia. Ahora es algo que tenemos que recordar o nos tiene que recordar la contraseña. Y si le ponemos sólo "pregunta", ya no pasa de algo que hay que saber responder.
Por no hablar de aquellos sistemas en los que lo que se nos pide es nuestra fecha de nacimiento o un dato similar.
Que todo esto no es una buena práctica es algo que nadie debería poner en duda. Abusando de estos mecanismos es como en su día cayeron en malas manos cuentas de correo como la de Sarah Palin.
Hace poco detecté y comuniqué un caso en el que podían obtenerse los datos de las cuentas de usuario de un sistema y utilizaban este procedimiento para restablecer credenciales. Y, como casi siempre, me dio en qué pensar.
Al fin y al cabo, estas preguntas y sus correspondientes respuestas terminan no siendo más que otra contraseña. Pero no una "contraseña adicional", sino una "contraseña alternativa". No una condición de tipo AND, sino OR.
Y lo malo de tener dos contraseñas alternativas es que basta con saber una cualquiera de ellas para hacerse con el control de la cuenta. Ya se sabe: lo del eslabón más débil...
Pero, con todo lo grave que esto pueda ser, hay algo que, a largo plazo, puede ser aún más preocupante: la gente, consciente de que si olvida la respuesta no podrá restablecer sus claves de acceso, suele poner preguntas relacionadas con su vida privada.
Cuando esas respuestas están en Internet, como ocurrió con la por entonces candidata a la presidencia de los EE.UU., la cuenta queda comprometida al primer intento.
Pero... ¿Y si no lo están? Pongamos que alguien pone una pregunta del tipo "¿Cómo se llama mi esposa?" y que ese dato no está publicado en ningún sitio. Entonces, un atacante podría empezar a realizar pruebas, realizando un ataque de diccionario y, con algo de suerte, podría obtener una información que le ayude a realizar un perfil más completo de su víctima.
Pienso en qué pasaría si hubiera sido alguien con malas intenciones, y no yo, quien hubiera encontrado aquella base de datos de usuarios. Imaginad, preguntas como:
- ¿Cómo se llama mi pareja?
- ¿Cómo se llama mi abuela paterna?
- ¿Cómo se llama mi hijo?
- ¿Cómo se llama mi jefa?
- ¿De dónde es mi pareja?
- ¿Cuándo se me declaró mi pareja?
- ¿Cuál es mi número de teléfono?
- ¿Cómo se llama mi perro?
- ¿Dónde vivo?
- ¿Dónde nací?
- ¿Cuál es mi apodo?
Imaginad estas preguntas con sus correspondientes respuestas. Pensad en lo útiles que pueden ser para preparar un ataque de ingeniería social.
Pensad en las implicaciones para la privacidad.
viernes, 24 de junio de 2016
Desanonimizando Dominios (5)
No es lo mismo
Si realizamos una petición a un servidor utilizando su dirección IP y la respuesta es de naturaleza parecida a la que obtendríamos usando alguno de sus nombres de dominio, todo parece apuntar a que estamos tratando con un servidor controlado por alguien. No con un hosting compartido, sino con un equipo que tiene un único propietario que lo aprovecha para sus propios fines.
Ahora bien, ese equipo puede estar utilizando un servicio de housing. O, como prefieren llamarlo los angloparlantes, de "colocation" o "colo". Con esas denominaciones nos referimos a empresas que tienen sus CPD con redes de conexión a Internet y alquilan espacio y recursos a quienes quieran ubicar en ellos sus ordenadores.
Y ese es el caso en los servidores que vimos anteriormente, como puede comprobarse consultando el registro de Whois asociado a sus direcciones IP:
Establecemos así otro vínculo entre propietarios de sitios web y empresas con las que contratan servicios. Y que algo sabrán de sus identidades porque, como poco, les cobran el servicio de forma periódica.
Esto también quiere decir que una misma IP puede fácilmente haber pasado por varios inquilinos a lo largo de los últimos años. No debe olvidarse que parte del modelo que estamos descubriendo se basa en crear muchos dominios "de usar y tirar" que no suelen registrarse por más de un año y que, en muchos casos, no llegan siquiera a eso porque suelen ser reportados por SPAM y otras prácticas no deseadas. Una cosa a tener en cuenta a la hora de correlacionar información.
La segunda "trampa"
Sea como sea, algo raro hay cuando en un pequeño rango de IPs se encuentra un elevado número de servidores que han sido denunciados en diversos medios por tener un comportamiento poco recomendable. Por ejemplo, tenemos esta página
La mayor parte de estos dominios ya no existen. Pero podemos intentar averiguar qué camino siguieron. En este caso vamos a utilizar la herramienta "Domain History" de WhoisRequest para ver cómo evolucionaron los servidores DNS asignados al primero de los dominios:
Hay que tener en cuenta que las fechas pueden no ser exactas. Porque una cosa es la fecha en que se actualiza la base de datos de Whois (que es la mostrada en la imagen) y otra distinta aquella en la que los cambios tuvieron lugar. De hecho, utilizando DomainHistory.NET (no confundir con el anetrior), una herramienta para encontrar datos de whois antiguos, encontré una copia del Whois de este dominio y pude comprobar que entre ambos eventos había una pequeña diferencia:
La historia de los DNS es relevante por varias razones:
- Si un domino utiliza los DNS de otro, posiblemente haya una relación entre ambos.
- Un nombre de dominio puede ser registrado por una organización, que lo usa durante un tiempo y después lo cancela. Y, al cabo del tiempo, puede venir otra empresa o persona y volver a registrarlo. Son "vidas" distintas que pueden ser apreciadas por la creación y eliminación de los registros de DNS (como en el mensaje "Domain dropped or Nameservers Removed" del final).
- Y por acabar esta lista, necesariamente no exhaustiva, tenemos el tema del "parking de dominios". En la imagen anterior puede observarse como el 17 de marzo de 2014 se observó un cambio de DNS, Anteriormente había venido siendo equipos cuyo nombre estaba asociado al dominio pero después pasaron a otro cuyo nombre "park...." apunta en esta dirección.
Esto del parking de dominos es un negocio relacionado normalmente con el SEO o la venta de visitantes. Si tienes un dominio que no usas, se lo "cedes", normalmente a cambio de una contraprestación económica, a una empresa de parking para que ellos sí lo utilicen.
¿Y qué hacen las empresas de parking con los dominios que consiguen? Seguro que lo has adivinado: poner enlaces publicitarios a otros sitios. O hacer que el tráfico que llegue a estos dominios se redirija a otros servidores. Y, claro, los destinos en ambos casos pagan por lo que reciben. Una dato que quizá sea revelador es que si buscas "domain parking cloaking" aparecen 405.000 resultados. Por si no sabes lo que es cloaking...aquí tienes un poco de lectura.
¿Qué historia nos cuentan las tres imágenes anteriores? La de un dominio que, a poco de ser creado, ya era objeto de denuncia pública por SPAM. Había sido registrado por sólo un año y cuando este tiempo terminó, comenzó el "plazo de gracia" que suele darse a los registrantes, durante los cuales ya no controlan el dominio pero sigue siendo posible renovarlo, que suele ser de alrededor de un mes. Y durante ese tiempo, parece que el dominio estuvo "apacado".
Resumiendo: a la hora de atribuir un comportamiento a un dominio hay que ver si éste se encuentra aparcado o no. En este caso, parece que fue el comprador original del dominio quien lo instaló en esa IP de un servicio de housing y posteriormente fue denunciado por SPAM.
Y no es una historia de un dominio solitario. Muchos de los denunciados en aquella página vivió similar aventura
Usando DomainHistory.NET se puede encontrar datos antiguos sobre algunos de estos dominios. Interesante similitud:
Mismo agente registrador. Fechas parecidas. Y, aunque distinto nombre y distintas cuentas de correo (eso sí, gratuitas) el mismo teléfono. Uno que, cuando se busca, aporta muchos resultados. La inmensa mayoría, relativos a la misma materia:
Por cierto, que StatsInfinity es otra herramienta de las buenas a la hora de investigar dominios. Y nos puede ayudar a comprobar que, aunque haya varias direcciones de correo involucradas, cada una de ellas fue utilizada unas cuantas veces.
jueves, 23 de junio de 2016
Desanonimizando Dominios (4)
Todos tenemos una historia
Sigamos con la historia de ayer y esas IPs cercanas entre sí que parecen tener cierta relación. En todas se fue encontrando dominios web relacionados con la venta de fármacos. Algunas incluso ofrecían este comportamiento si se visitaba directamente la dirección IP.
En los casos que revisé me encontré con sitios que no eran realmente tiendas. Algunos, incluso, eran blogs con contenidos bien elaborados (al menos en su forma, que yo no sería capaz de distinguir si lo que decían era verdad o no).
Pero, si se navegaba un poco por ellos, la mayoría terminaban ofreciendo un enlace a un sitio externo que sí parecía vender fármacos. O que parecían haberlo hecho en el pasado, ya que con frecuencia estos dominios de destino habían caducado.
En los casos que revisé me encontré con sitios que no eran realmente tiendas. Algunos, incluso, eran blogs con contenidos bien elaborados (al menos en su forma, que yo no sería capaz de distinguir si lo que decían era verdad o no).
Pero, si se navegaba un poco por ellos, la mayoría terminaban ofreciendo un enlace a un sitio externo que sí parecía vender fármacos. O que parecían haberlo hecho en el pasado, ya que con frecuencia estos dominios de destino habían caducado.
Hubo un caso gracioso. Recordarás la imagen con la que acabábamos el último post:
La última de las ventanas hablaba de que próximamente habría contenidos para un dominio "recién creado" ("just created"). Pues bien, ese dominio, a fecha de hoy, no está registrado.
Pero... en su día lo estuvo. Y algunos servicios permiten comprobar que estuvo funcionando hasta el año 2015
Este dominio se registró sin usar un servicio de anonimización, aunque posiblemente bajo una identidad falsa. En todo caso, la dirección de correo puede llevarnos a descubrir otros dominios de la "misma marca":
Y, como se recordará, estamos hablando de un dominio asociado a una IP de aquel bloque en el que había cosas interesantes. Claro que, como el dominio ya no existe, un nslookup no nos podría confirmar que éste se encontraba en su día efectivamente alojado en la dirección IP detectada.
... salvo porque todos tenemos un pasado e Internet se encarga a menudo de recordárnoslo. Hay por ahí servicios que permiten consultar registros históricos de DNS. Historical DNS les suelen llamar. "DNS History" es uno de ellos:
Sí. Hay registros de que ésa fue su IP.
Pero que un equipo tenga un IP no quiere decir que el dueño del equipo sea dueño de la IP...
Pero que un equipo tenga un IP no quiere decir que el dueño del equipo sea dueño de la IP...
(continuará)
miércoles, 22 de junio de 2016
Desanonimizando dominios (3)
Compañeros de viaje
Vimos anteriormente un sitio web que había sido promocionado utilizando técnicas de Black Hat Seo.
¿Será un dominio aislado o formará parte de una red? Una posible forma de salir de dudas consistiría en analizar sitios web que han sido vulnerados para promocionarlo e intentar determinar qué otros dominios fueron promocionados en el mismo ataque.
Por supuesto, en estos casos siempre cabe la posibilidad de que dos dominios independientes sean promocionados de forma conjunta. Quizá dos webmasters encargaron al mismo delincuente trabajos parecidos y éste cobró a ambos por separado pero "trabajó" sólo una vez. De modo que habrá que hacer comprobaciones posteriores y analizar los datos en conjunto.
Y para ver dónde pusieron enlaces a un sitio, tanto si es por las buenas como si por las malas... ¿Qué mejor que una herramienta de SEO?
No queda más que ir probando páginas, quizá utilizando Referers o User Agents falsos para simular tráfico procedente de búsquedas o buscadores, e ir viendo enlaces. Ahí encontraremos tanto otras víctimas como dominios que fueron promocionados a costa de aquellas.
En este caso, se trata de dos dominios con datos de Whois muy distintos:
... pero IPs relativamente parecidas
IPs que, además, si se visitan tienen un aspecto similar y peculiar
Y que no por raras están solas. Si se miran unas cuantas de las más próximas a ellas...
(continuará)
Suscribirse a:
Entradas (Atom)





















