Como ya había mencionado, el funcionamiento de las barras antiphishing es variado. Ahora entraré en la parte técnica del análisis empleado para determinar por qué no funcionan.
Uno de los principales problemas de los sitios maliciosos, es que están en línea poco tiempo. Según el AntiPhishing Working Group, el tiempo promedio que un sitio malicioso suele estar activo es de tan solo 4.8 días -esto da una idea de cuan nocivos pueden ser en tan corto tiempo. Sin embargo, muchos son cerrados tan sólo horas después de haber comenzado a funcionar.
El experimento 1 (Abril, 11 - Abril 26, 2006). Evaluación Manual de las herramientas AntiPhishing
Inicialmente, el experimento implicaba el análisis manual de 5 de las 10 barras antiphishin descritas y debido a razones técnicas, se diseñó un sistema automático de pruebas. El segundo experimento, consistió en ver como se comportaban las barras ante distintas URL's en un período de 24 horas, permitiendo observar el efecto de las actualizaciones de las listas negras y los sitios maliciosos que van siendo cerrados. El problema de esta fase, radicó en una lista que fuera fiable y que estuviese actualizada frecuentemente.
El resultado.
Netcraft identificó 48 de 50 sitios fraudulentos (96%)
TrustWatch, 34 (68%)
SpoofGuard, 31 (62%)
Ni Google Toolbar ni Cloudmark detectaron sitios fraudulentos. Sin embargo, Google toolbar hacía que Firefox se colgara al entrar en casi cada sitio fraudulento. Esto puede ser causal para que un usuario desista de entrar a un sitio web malicioso, pero no es la función más apropiada, por razones obvias. Esta incompatibilidad, produjo que Google Toolbar no fuese tomada para el resto de esta fase del estudio.
SpoofGuard corrió con la suerte de detectar 7 falsos positivos.
Del experimento 2, la evaluación automática, se estudiaron usando IEv6, Netcraft v.1.6.2, TrustWatchv.3.0.4, SpoofGuard y Cloudmark v.1.0, y usando Firefox 1.5.0.6, Google Toolbar v2.1. Todas las barras con su configuración por defecto.
Se utilizaron 100 sitios maliciosos correspondientes a 100 dominios únicos extraídos de las listas de la APWG. Y posteriormente, se extrajeron de las listas otros 60 URLs y otros 40 de sitios conocidos, que se utilizaron para la búsqueda de falsos positivos.
En un intervalo de 24 horas, se demostró la efectividad de cada barra de herramientas. Los resultados: Netcraft logró alcanzar 95% de efectividad transcurridas las 24 horas. Google Toolbar, tan sólo pudo alcanzar el 75% y Cloudmark, irónicamente perdió efectividad con el paso del tiempo.
SpoofGuard marcó 37 sitios seguros como inseguros y no tuvo precisión en otros 55.
El tercer experimento, que consistió en la prueba automática de 10 barras antiphishing, consistió en la prueba de las herramientas de IE7 (v.7.0.57) y Netscape Navigator v.8.1.2, Internet Explorer 6, fue utilizado para probar EarthLink, eBay, McAfee, Netcraft, TrustWatch, SpoofGuard y CloudMark. Firefox 1.5.0.6 fue utilizado en conjunto con Google Toolbar.
Esta vez, se seleccionaron sitios posteados en Phishtank, 100 en total y se analizaron las barras en un lapso de 24 horas (en intervalos definidos).
En esta prueba, SpoofGuard se comportó mejor que Netcraft. EarthLink y Netcraft tuvieron resultados similares al inicio de la prueba.
En general, todas las barras hicieron un buen trabajo en este experimento. Excepto por McAfee que fue el peor del recuento. Netscape y eBay, tampoco lograron superar el 30% de los sitios de la prueba.
Conclusiones Globales.
Uno de los problemas de este estudio, es que no se tiene información sobre cuan amplias y cuan actualizadas están las listas negras que utiliza cada barra. El problema del uso de técnicas heurísticas es que, a pesar de ser una técnica bastante efectiva, es también bastante agresiva, ocasionando un alto número de falsos positivos. En consecuencia, ninguna técnica por sí sola es suficiente, ambas pueden ser vulnerables a ciertos parámetros, por lo que el estudio sugiere que ambas deben ser usadas en conjunto.
El estudio demostró que las tres barras más eficientes son : SpoofGuard, Earthlink y Netcraft. Aunque se estimó que la efectividad total no superó el 75%.
Por lo que pude observar, en promedio, Google Toolbar fue superior a la herramienta integrada Antiphishing de Internet Explorer 7. Que para los efectos, es bastante decir.
El informe puede ser descargado desde aquí.
COMENTARON