Detección de web maliciosas (II): SpyBye

SpyBye es una herramienta destinada en principio a los responsables de sitios web, que trata de ayudarles a determinar si sus páginas contienen exploits que puedan atacar a sus usuarios. Hace poco esto era casi impensable, pero en la actualidad las páginas web se han constituido en un importante vector de difusión de malware, estimando estudios recientes que un 10% de los sitios web están infectados.

El asunto es tan preocupante en la actualidad que nunca haremos suficiente hincapié sobre este riesgo. Particularmente, me gustaría que los usuarios de Kriptópolis fueran conscientes de que cada vez es más posible resultar infectado al visitar cualquier web (y no sólo -como antes- las poco recomendables), ya que a veces el problema radica en que los atacantes han logrado explotar una vulnerabilidad en alguna aplicación web, pero otras ni siquiera eso es necesario, escapando las circunstancias de la infección al control del responsable del web (por ejemplo, un contador externo de visitas que muchos webmasters utilizaron durante años sin ninguna pega, se convirtió de la noche a la mañana en difusor de malware).

SpyBye utiliza análisis heurístico para comprobar si un sitio web tiene contenido malicioso, pero desde la versión anterior a la actual también se vale de ClamAV para escanear presunto malware...

La forma más sencilla de utilizar SpyBye es configurar http://www.spybye.org:8080 como proxy en las preferencias de nuestro navegador. Sin embargo este sistema puede resultar lento si hay muchos otros usuarios utilizándolo, por lo que también existe la posibilidad de descargarlo e instalarlo en cualquier máquina Linux, SpyBye es código libre con licencia BSD.

Si se decide instalar SpyBye en un sistema linux hay que comprobar antes que se dispone de la biblioteca libevent. Si tu distribución no dispone de libevent, puedes descargarlo y compilarlo tu mismo, con la misma secuencia de comandos que indico a continuación para spybye (pero cambiando el nombre de fichero, lógicamente).

Tras instalar libevent hay que proceder a descargar e instalar el propio SpyBye:

$ tar xzvf spybye-0.3.tar.gz
$ cd spybye-0.3
$ ./configure
$ make
$ su
# make install

Luego, arrancar como usuario normal (tecleando spybye) y configurar 127.0.0.1:8080 como proxy para navegar (En Firefox, Editar -> Preferencias -> Avanzados -> Red -> Conexión).

A partir de ahora, cualquier URL será analizada a través del proxy, y tras esperar unos segundos a que finalice el análisis se nos mostrarán los resultados en la mitad superior de la pantalla, clasificando la página como inofensiva (harmless), desconocida (unknown) o peligrosa (dangerous). Alternativamente, podemos dirigirnos a spybye.org y utilizar un formulario como interfaz (ésta era la única opción disponible en versiones anteriores de SpyBye). Para alternar más cómodamente entre navegar con SpyBye o sin él, los usuarios de Firefox disponemos de la extensión SwitchProxy.

Cuando un webmaster detecta en su sitio web algo calificado como "desconocido" está obligado a revisar el código (aunque mucho de este malware está ofuscado) y comprobar por qué ese contenido está enlazado desde su sitio y si es o no fiable.

Un último apunte. Como dice su autor, SpyBye sólo avisa de la posible existencia de algo sospechoso, pero no garantiza ninguna protección, por lo que se recomienda ejecutarlo desde una máquina virtual que pueda volverse a un snapshot fiable en caso de infección.

Espero que SpyBye pase desde hoy a formar parte de vuestra batería de herramientas para mejorar la seguridad de la navegación web.

>> SpyByte.