Jornada 25 Aniversario Asociacion de Internautas


Grandes empresas sobre pequeñas y desactualizadas infraestructuras web

Desenmascara.me para saber si tu sitio web está preocupado por la seguridad


El objetivo de desenmascara.me es que cualquiera pueda conocer la infraestructura y arquitectura de su sitio web y comprobar así si se mantiene debidamente actualizado antes de que se entere por algún aviso de SafeBrowsing o por ver referers de visitantes desde zone-h. Los sitios web del principio de este artículo, parece que no se mantienen debidamente muy actualizados, por lo que podríamos decir que sus administradores, no parecen estar muy concienciados con la seguridad web. No se puede decir lo mismo de el sitio web de la casa blanca, con drupal.




Emilio Casbas en securitybydefault - ¿Qué pueden tener en común los siguientes sitios web?:

http://www.scotiabank.com
http://www.rbs.co.uk
http://www.natwest.com
http://www.coverity.com
http://www.websense.com
http://www.safenet-inc.es
http://www.eeye.com
http://www.avaya.com
http://www.ey.com
http://www.mckinsey.com
http://www.acciona.es
http://www.enagas.es
http://www.endesaonline.com
http://www.telefonica.es
http://www.bancopopular.es

Dichos sitios web corresponden a banca, grandes empresas tecnológicas y compañías del Ibex35. Pero lo que tienen en común todos ellos es el título de este post, o lo que es lo mismo; la presumiblemente poca concienciación en seguridad de los administradores de dichos sitios web. Antes de continuar, aclarar que esta poca concienciación está relacionada con la seguridad por oscuridad (un concepto siempre polémico), pero sobre todo, con el uso de versiones antiguas de software y ningún signo de securización adicional.

En ninguno de los anteriores sitios web hay preocupación en mostrar las versiones antiguas de su software; IIS/5.0, 6.0 y Sun-ONE-Web-Server/6.1 entre otros, que, aunque bien podría tratarse de cabeceras HTTP fake como el caso de algunas compañías, en estas dudo que tengan tanto sentido del humor. Tampoco muestran visos de una securización adicional como podría ser:

La cabecera X-FRAME-OPTIONS para mitigar ataques clickjacking en navegadores nuevos
X-XSS-Protection para mitigar vulnerabilidades XSS.
HTTPOnly para evitar el robo de cookies a través de scripts en la parte cliente.
Atributo Secure para evitar la transmisión de cookies en texto claro.
O el uso de cualquier WAF o CDN.

Todos recordamos que le ocurrió a la empresa de Seguridad HBGary, y de como empezó todo; por una simple vulnerabilidad en el CMS de su sitio web. Por eso es importante proteger los sitios web adecuadamente. La excusa de "simplemente se trata de una web" no es válida, hay que aprender de los errores, como en el caso anterior, y más aún, tratándose de grandes empresas e incluso tecnológicas, que se suponen que venden eso; Seguridad.

No importa que hayas subcontratado el servicio de diseño y hosting de tu compañía, es la imagen de tu marca, y como tal, si tienes presencia en la web, deberías preocuparte de que tu marca este en buenas manos, es decir, en una infraestructura adecuada. Grandes empresas como las anteriores no tienen excusas, ya que pueden invertir recursos y dinero en realizar auditorías de Seguridad y actualizar sus infraestructuras. Uno de los mayores riesgos de Seguridad al descuidar los sitios web ya hemos visto cual puede ser, pero también hay otros como; pérdida de datos confidenciales y daño a la imagen y reputación, ¿cuáles más se os ocurren?

Para autónomos, pequeñas y medianas empresas también existe un riesgo si descuidan sus sitios web, y es que estos sean objeto de esquemas de ataques drive-by, y al acceder a dichos sitios aparezca ese mensaje de: "Este sitio puede dañar tu ordenador". Problemas en el SEO conseguido a base de tanto esfuerzo, pérdida de confianza, clientes... De hecho, los sitios web pequeños son los más golosos para los cibercriminales. Luego hay sucesos como el caso de la web de un ayuntamiento de España que desapareció, en el cual luego sale la alcaldesa diciendo que se investigará hasta el final para sancionar al culpable (aunque esté en Indonesia), gastando fondos y recursos públicos inutilmente, cuando lo más sensato y barato hubiera sido tener una versión actualizada de la web, o espera no...

En un intento de concienciar a los propietarios de cualquier sitio web, sin que estos tengan que tener conocimientos de seguridad, he creado una pequeña prueba de concepto (PoC) en forma de servicio web. Dicho servicio muestra un mensaje informativo en base a un análisis 'básico' del sitio web. No hace falta tener ningún tipo de conocimiento, simplemente, introducir la dirección del sitio web y comprobar el resultado. Insisto, el mensaje informativo es para intentar concienciar a gente que no tiene porque saber que es una cabecera HTTP, un WAF o la última versión disponible de nginx.

pdfprintpmail