05 noviembre 2008

Consejos para proteger tu dominio

Cada cierto tiempo se escuchan historias sobre gente que pierde algún dominio importante en manos de algún sujeto sin escrúpulos. Tal vez el caso mas paradigmático sea el de tonterias.com donde un fallo en Gmail hizo posible que cayera en manos de de quien no debía.

En el post de hoy voy a recopilar unos cuantos consejos fáciles de implementar que dejaran el dominio lo mas 'hardenizado' posible.

  • 1. Bloquea tu dominio : Mantener el dominio bloqueado hace que, si se intenta una transferencia de dominio aun con un AUTH code valido, sea denegada, y esta restricción es también valida para cambios en los servidores DNS. En el panel de control que ponga a tu disposición la empresa con quien tengas registrado el dominio ha de encontrarse la opción de activar el bloqueo, buscala o pregunta por ella.
  • 2. Activa el 'Whois Privacy': Muchas empresas de gestión de dominios permiten activar lo que se conoce como 'Whois Privacy' que, básicamente, lo que significa es que a la hora de hacer un 'Whois' a tu dominio (preguntar a una base de datos PUBLICA y accesible A CUALQUIERA que gestiona la información asociada al dominio) no obtendrán información que se pueda volver contra ti. Por ejemplo, si haces accesible a cualquiera la dirección de correo electrónico que gestiona tu dominio ¿Donde irán a parar los posibles intentos de secuestro?. Un servicio de 'Whois Privacy' ampliamente usado es Privacy Protect. Consulta a la empresa donde tengas contratado tu dominio por esta opción.
    Por ejemplo si se consulta el whois de securitybydefault.com los datos asociados son estos:
Administrative Contact:

PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Y al final del whois aparece esta información notificando que el dominio se encuentra BLOQUEADO:

Status:LOCKED
Note: This Domain Name is currently Locked. In this status the domain
name cannot be transferred, hijacked, or modified. The Owner of this
domain name can easily change this status from their control panel.
This feature is provided as a security measure against fraudulent domain name hijacking

  • 3. Defiéndete contra ataques de tipo XSS y CSRF: El caso mencionado anteriormente de tonterias.com pudo suceder debido a un fallo de tipo CSRF en Gmail. Cualquier aplicación 2.0 basada en la web es susceptible de sufrir este tipo de vulnerabilidades, sea un webmail, sea facebook o blogger. Tanto en el caso de un ataque XSS como CSRF, el escenario necesario para hacer 'diana' se basa en tener una sesión abierta en la aplicación que se pretende atacar y visualizar otra pagina que contenga el código malicioso. En este punto hacer notar un falso mito sobre el tema: SSL NO te defiende de este tipo de ataques, el hacer pasar tu sesión por SSL lo único que impide es que alguien consiga 'snifar' la cookie de acceso.
    Como primera defensa, empieza por usar una cuenta de correo para gestionar tu dominio que no sea la tuya habitual con la que gestionas otro tipo de temas. Si te planteas usar un webmail, huye de aquellos que sabes serán los que mas 'ojos maliciosos' tienen puestos encima, como Gmail o Yahoo y dale una oportunidad a sitios como Hushmail que sustancialmente es el mismo concepto de Webmail pero tiene una vocación orientada a la privacidad / seguridad.
    Y finalmente la solución mas paranoica pero la 99% mas efectiva: Usa un navegador única y exclusivamente para coger el correo electrónico de la cuenta asociada a tu dominio. Como decía antes, casi todos los bugs que permiten 'secuestrar' sesiones en webmails tienen como premisa tener una pestaña o ventana abierta en el webmail y navegar por sitios con contenido malicioso, por tanto, si empleas un navegador solo para leer esa cuenta de correo y bloqueas el resto de URLs tendrás una mas que razonable protección. ¿Como bloquear el resto 'de internet'? Muy fácil, en las opciones de tu navegador configura un proxy inexistente que apunte, por ejemplo, a 127.0.0.1 y añade como excepción para que no pase por el proxy únicamente la web de tu webmail. Puedes usar Firefox como navegador habitual y tener configurado Chrome para acceder a Hushmail.

7 comments :

Il Venturetto dijo...

Estáis en microsiervos

:)

Yago Jesus dijo...

Alvy es un crack ! Gracias por el aviso

Anónimo dijo...

Buen post y buen consejo...Con permiso de la administración lo voy a publicar en mi página...Gracias y saludos...

www.elrastreador.com

Yago Jesus dijo...

Gracias !

Anónimo dijo...

¿Cómo puedo configurar el Chrome para conectar sólo a gmail? Un saludo.

Yago Jesus dijo...

@Anonimo, lo cuento en el último párrafo. Tu navegador si le configuras un proxy en una dirección IP donde no haya nada (tipicamente 127.0.0.1) hará que cuando vaya a conectar a una web, intente sacar la conexión por ese proxy, al no encontrarlo, no podrás navegar, entonces, si añades una excepción para no usar proxy en www.gmail.com solo podrás ir a a esa web.

emigasei67 dijo...

Buen post y buen consejo...Con permiso de la administración lo voy a publicar en mi página...Gracias y saludos...

www.elrastreador.com