sábado, 13 de diciembre de 2008

Jacke al Phishing Parte 2 de 2

Replanteamiento de enfoque

Para tratar de romper este círculo vicioso, PayPal se replanteó su enfoque anti-phishing y elaboró cinco puntos de bloqueo:

1. Recuperación del correo electrónico: Para conseguir que el phishing no llegue a los buzones de los clientes es necesaria la adopción de la autenticación de correo electrónico por parte de proveedores de servicios de Internet (ISP) y su compromiso de no entregar correo electrónico sin firma.

2. Bloqueo de los sitios de phishing: Evitar que los sitios de phishing se muestren a los clientes.

3. Autenticación de usuarios: Impedir que las combinaciones de contraseña y nombre de usuario robadas se usen en PayPal.com.

4. Acciones legales: Desincentivar mediante acciones legales y en cooperación con gobiernos y autoridades judiciales.

5. Recuperación de clientes y restauración de la reputación de la marca: Asegurarse de que los clientes que han sufrido los ataques sigan usando PayPal.

Aunque estas cinco estrategias son fundamentales, nos centraremos en dos de ellas: la recuperación del correo electrónico y el bloqueo de sitios de phishing.

"Blindar" el buzón de entrada


Si el phishing no llega al buzón de entrada, no hay peligro. La firma del correo electrónico y la identificación visual son las principales formas de evitar que los correos de phishing lleguen al buzón del cliente y, por tanto, de que éste se vea expuesto al peligro. De ahí que nuestra primera estrategia se centre en un uso creativo de los nuevos estándares de firma de correo electrónico y en la cooperación con los principales ISP para bloquear los correos no firmados que, aparentemente, procedan de PayPal antes de que lleguen a los clientes. La cuestión es cómo hacerlo.
Durante años, la industria planteó la posibilidad de crear firmas digitales que pudieran determinar con exactitud qué usuario final había enviado el mensaje. Esta solución era adecuada para usuarios activos, es decir, aquellos que deseaban tomar parte activa en su seguridad, pero no para los pasivos. Por ello, se hacía necesario que los ISP filtrasen el correo electrónico fraudulento. En resumen, el proceso consistiría en que PayPal firmase todo el correo electrónico de salida, para que, después, el ISP analizase todo el correo entrante y verificase que el apartado "de" del mensaje, fuese "@paypal.com" y, de ser así, el ISP comprobase la firma del mensaje para verificar que correspondiese a nuestra clave pública. En caso afirmativo, entregaría el mensaje al destinatario, mientras que si no coincidiese, eliminaría el mensaje.

El aspecto innovador de este enfoque consiste en que el mensaje se eliminaría en la red del ISP, en lugar de entregarse o colocarse en la carpeta de correo no deseado del cliente. Indudablemente, esta solución sería eficaz, pero, desafortunadamente, implicaría que todos los ISP y empresas expuestas a phishing deberían suscribir acuerdos individuales, algo muy poco probable. Por ello, decidimos dividir nuestro trabajo en dos fases: una experimental, en la que probáramos el concepto, y una de implementación, en la que intentaríamos fomentar su aceptación por parte de toda la industria.

Aunque el amplísimo número de ISP nos desalentó inicialmente, pronto nos dimos cuenta de que seis de los mayores ISP cubren más del 80 por ciento de nuestros clientes. A mediados de 2006, empezamos a trabajar con Yahoo! para implementar nuestra solución (hace unos meses también llegamos a un acuerdo con Google), elección muy acertada, ya que tuvo un papel principal en el desarrollo de DomainKeys, una de las tecnologías que empleamos para firmar el correo de salida. A mediados de 2007, utilizábamos DomainKeys y SPF (Sender Policy Framework), otra tecnología que permite controlar el correo no deseado, y trabajábamos con Yahoo! en las reglas de bloqueo.

Tras poner en marcha el bloqueo de correo electrónico con DomainKeys en octubre de 2007, observamos unos resultados muy positivos. En los primeros meses, conseguimos evitar la entrega de más de cincuenta millones de correos de phishing en los buzones y las carpetas de correo masivo de confiados usuarios. Algo quizá tan alentador como el hecho de que se ha reducido significativamente el número de intentos de suplantación de PayPal en el correo de Yahoo!, lo que supone que el número de delincuentes que intentan enviar este tipo de correos a usuarios de Yahoo! ha disminuido drásticamente. Por otra parte, nuestra teoría original se basaba en la premisa de que la firma de correo electrónico también podría ayudarnos a proporcionar una solución para nuestros usuarios activos, facilitando firmas digitales que los usuarios más avispados pudieran reconocer.
Sin embargo, mientras haya ISP que no utilicen DomainKeys y SPF, habrá lagunas en la protección que la firma y el bloqueo no podrán resolver. Por tanto, la segunda parte de nuestra estrategia consiste en trabajar con los proveedores de clientes de correo electrónico (cuyo número es relativamente reducido) para asegurarnos de que los clientes reconozcan las firmas incluidas en los correos.

Para llegar a los usuarios activos que no acceden a su correo electrónico mediante un cliente que procese firmas, PayPal empezó a trabajar con Iconix, que ofrece el complemento Truemark para muchos clientes de correo. El software resuelve con rapidez y sencillez la cuestión de si el mensaje de PayPal es válido mediante la reescritura de la página del buzón de correo, para mostrar de forma clara qué correos se han firmado debidamente.

Ante el clic, bloqueo de webs


Si se ha hecho clic en el mensaje de phishing: bloqueo de las webs remitentes. El siguiente nivel defensivo presupone que el mensaje de phishing ha llegado al buzón de correo electrónico del usuario y que éste ha hecho clic en el vínculo. Varias son, entonces, las opciones:

NAVEGADORES

Existen navegadores seguros y otros que no lo son, es decir, aquellos que no son compatibles con el bloqueo de sitios de phishing o los certificados de validación extendida. En nuestra opinión, dejar que los usuarios vean el sitio web de PayPal en uno de estos navegadores equivale a que un fabricante de coches permita a sus clientes comprar vehículos sin cinturones de seguridad.

Lo alarmante es que hay una proporción significativa de usuarios que utilizan navegadores muy obsoletos y vulnerables, como Internet Explorer 4 o incluso 3 de Microsoft. Por ello, pensamos que es vital no sólo advertir a los usuarios sobre navegadores no seguros, sino también no admitir el uso de navegadores obsoletos e inseguros. Además, sugerimos a los sitios web que soliciten información personal o financiera que apliquen el siguiente sistema:

+ Versión N (actual): permitir su uso, pero sin correos.
+ Versión N-1 (versión principal anterior): permitir su uso, pero con un mensaje de advertencia.
+ Versión N-2, o inferior: no permitir su uso y mostrar un mensaje informativo.

En PayPal, estamos en proceso de reimplementar controles que adviertan a nuestros clientes al iniciar sesión sobre los navegadores que consideramos inseguros. Más adelante, planeamos impedir a los usuarios que accedan al sitio mediante los navegadores no seguros (normalmente los más antiguos).

LISTAS NEGRAS

Las listas negras constituyen la base del mecanismo gracias a que funcionan las páginas de advertencia intersticiales, que avisan a los clientes cuando van a proporcionar información personal o financiera en un sitio que es, o puede ser, fraudulento. En la medida en que las listas negras sean actuales, completas y oportunas, resultan muy eficaces.

PÁGINAS DE ADVERTENCIA
Una de las formas más eficaces para proteger a los usuarios son las páginas de advertencia contra el fraude, que aparecen cuando hacen clic en un vínculo a un sitio de phishing confirmado. Técnicamente, se describen como páginas de advertencia intersticiales y avisan al usuario, de forma clara, de que la página a la que intentan acceder no pertenece al sitio que creen. Estás páginas de advertencia funcionan mediante una combinación de listas blancas (sitios web genuinos conocidos), listas negras (webs de suplantación conocidas) y modelos de valoración heurísticos que procesan los datos disponibles en HTML y JavaScript antes de procesar la página.

CERTIFICADOS SSL
El bloqueo de sitios fraudulentos funcionaba bien para los usuarios pasivos; sin embargo, era necesario proporcionar señales visuales para los usuarios activos en el navegador web. En este sentido, los navegadores más seguros fueron de gran ayuda. Aprovechando la existencia de un nuevo tipo de certificado de sitio denominado certificado SSL de validación extendida, los nuevos navegadores como IE 7 resaltan en verde en la barra de direcciones si los clientes se encuentran en una web cuya legitimidad se ha comprobado. Asimismo, muestran el nombre de la empresa y el nombre de la autoridad certificadora. De este modo, al mostrar el "resaltado" verde y el nombre de la empresa, estos navegadores facilitan a los usuarios comprobar si el sitio que visitan es genuino.


La lucha continúa

Aunque nuestras pruebas iniciales en firma y bloqueo de correo dieron resultados muy positivos, somos conscientes de que queda mucho camino por recorrer para que esta medida se convierta en una práctica generalizada. Básicamente, los estándares deben ser compatibles con mecanismos que permitan a los remitentes especificar políticas sobre cómo los verificadores deben procesar sus mensajes. Hay una propuesta, aún en estado embrionario, de la Internet Engineering Task Force sobre prácticas de firma de remitente (SSP, por sus siglas en inglés), que podrían complementar los mecanismos de DNS ya existentes.

Por nuestra parte, más de doce meses después de haber puesto en marcha esta estrategia anti-phishing, hemos observado un aumento en el número de virus y troyanos implementados para robar credenciales de usuario, una forma mucho más sibilina de conseguir los mismos resultados que el phishing. Por ello, vigilamos de cerca esta nueva tendencia, a la vez que creamos estrategias para combatirla. No cabe duda de que estamos jugando una vertiginosa partida de ajedrez con la comunidad de los delincuentes. Todos nuestros movimientos reciben una réplica por su parte, pero creemos que mediante la vigilancia y la cooperación de toda la comunidad de Internet, podemos ganar la partida.

Michael Barrett, jefe de Seguridad de PayPal, y Dan Levy, director principal de Gestión de Riesgo de PayPal para Europa.

Fuente:www.borrmart.es


Méndez

No hay comentarios: