11 enero 2013

¿Qué pueden tener en común los siguientes sitios web?: 
  • http://www.scotiabank.com 
  • http://www.rbs.co.uk 
  • http://www.natwest.com 
  • http://www.coverity.com 
  • http://www.websense.com 
  • http://www.safenet-inc.es 
  • http://www.eeye.com 
  • http://www.avaya.com 
  • http://www.ey.com 
  • http://www.mckinsey.com 
  • http://www.acciona.es 
  • http://www.enagas.es 
  • http://www.endesaonline.com 
  • http://www.telefonica.es 
  • http://www.bancopopular.es
Dichos sitios web corresponden a banca, grandes empresas tecnológicas y compañías del Ibex35. Pero lo que tienen en común todos ellos es el título de este post, o lo que es lo mismo; la presumiblemente poca concienciación en seguridad de los administradores de dichos sitios web. Antes de continuar, aclarar que esta poca concienciación está relacionada con la seguridad por oscuridad (un concepto siempre polémico), pero sobre todo, con el uso de versiones antiguas de software y ningún signo de securización adicional.

En ninguno de los anteriores sitios web hay preocupación en mostrar las versiones antiguas de su software; IIS/5.0, 6.0 y Sun-ONE-Web-Server/6.1 entre otros, que, aunque bien podría tratarse de cabeceras HTTP fake como el caso de algunas compañías, en estas dudo que tengan tanto sentido del humor. Tampoco muestran visos de una securización adicional como podría ser:
  • La cabecera X-FRAME-OPTIONS para mitigar ataques clickjacking en navegadores nuevos 
  • X-XSS-Protection para mitigar vulnerabilidades XSS. 
  • HTTPOnly para evitar el robo de cookies a través de scripts en la parte cliente. 
  • Atributo Secure para evitar la transmisión de cookies en texto claro. 
  • O el uso de cualquier WAF o CDN. 
Todos recordamos que le ocurrió a la empresa de Seguridad HBGary, y de como empezó todo; por una simple vulnerabilidad en el CMS de su sitio web. Por eso es importante proteger los sitios web adecuadamente. La excusa de "simplemente se trata de una web" no es válida, hay que aprender de los errores, como en el caso anterior, y más aún, tratándose de grandes empresas e incluso tecnológicas, que se suponen que venden eso; Seguridad.

No importa que hayas subcontratado el servicio de diseño y hosting de tu compañía, es la imagen de tu marca, y como tal, si tienes presencia en la web, deberías preocuparte de que tu marca este en buenas manos, es decir, en una infraestructura adecuada. Grandes empresas como las anteriores no tienen excusas, ya que pueden invertir recursos y dinero en realizar auditorías de Seguridad y actualizar sus infraestructuras. Uno de los mayores riesgos de Seguridad al descuidar los sitios web ya hemos visto cual puede ser, pero también hay otros como; pérdida de datos confidenciales y daño a la imagen y reputación, ¿cuáles más se os ocurren?

Para autónomos, pequeñas y medianas empresas también existe un riesgo si descuidan sus sitios web, y es que estos sean objeto de esquemas de ataques drive-by, y al acceder a dichos sitios aparezca ese mensaje de: "Este sitio puede dañar tu ordenador". Problemas en el SEO conseguido a base de tanto esfuerzo, pérdida de confianza, clientes... De hecho, los sitios web pequeños son los más golosos para los cibercriminales. Luego hay sucesos como el caso de la web de un ayuntamiento de España que desapareció, en el cual luego sale la alcaldesa diciendo que se investigará hasta el final para sancionar al culpable (aunque esté en Indonesia), gastando fondos y recursos públicos inutilmente, cuando lo más sensato y barato hubiera sido tener una versión actualizada de la web, o espera no...

En un intento de concienciar a los propietarios de cualquier sitio web, sin que estos tengan que tener conocimientos de seguridad, he creado una pequeña prueba de concepto (PoC) en forma de servicio web. Dicho servicio muestra un mensaje informativo en base a un análisis 'básico' del sitio web. No hace falta tener ningún tipo de conocimiento, simplemente, introducir la dirección del sitio web y comprobar el resultado. Insisto, el mensaje informativo es para intentar concienciar a gente que no tiene porque saber que es una cabecera HTTP, un WAF o la última versión disponible de nginx

Los detalles del informe son las cabeceras HTTP del servidor y algún metadato más del HTML del sitio.

Ejemplo de mensaje informativo para todos los públicos

Ejemplo de informe más detallado con las causas del mensaje anterior

El objetivo de desenmascara.me es que cualquiera pueda conocer la infraestructura y arquitectura de su sitio web y comprobar así si se mantiene debidamente actualizado antes de que se entere por algún aviso de SafeBrowsing o por ver referers de visitantes desde zone-h. Los sitios web del principio de este artículo, parece que no se mantienen debidamente muy actualizados, por lo que podríamos decir que sus administradores, no parecen estar muy concienciados con la seguridad web. No se puede decir lo mismo de el sitio web de la casa blanca, con drupal.

Artículo cortesía de Emilio Casbas

8 comments :

anon dijo...

Gran post !



Un saludo.

Francisco Javier dijo...

Muy buena info. Es increíble que Endesa o Telefónica aparezcan en esa lista.

car dijo...

Seguridad por oscuridad. Este concepto de seguridad es bastante polémico como bien dice el articulo sin embargo a veces puede que sea la única opción que tengamos ante una vulnerabilidad 0-Day, claro que el articulo también expone la desactualizacion de software y eso ya es mas grave puesto que cuanto mas antiguo sea este mas probabilidades hay de que haya exploits que puedan usarse para acceder al sistema. No esta nada mal la idea de desenmascara.me la verdad, seguro que muchos Admin tomaran nota.

JJ dijo...

Gracias por el post.

chmeee dijo...

Más bien, al revés. En las organizaciones grandes la gente tiene, relamente, menos capacidad de actuación y, por lo tanto, son menos flexibles. Los cambios a producción deberán estar justificados con decisiones de negocio y haber pasado varios comités de cambio en los que se pedirá evidencia de que no afectan a los servicios y habrá que probarlos en varios entornos antes de solicitar a la empresa de outsourcing que los introduzca cuando tenga una ventana de parada libre que no afecte a sus valores de rendimientos que pueda suponer una penalización económica...

Emilio dijo...

Gracias por los comentarios.

Sí, la idea de esta web es concienciar a los admins y propietarios de sitios web que una vez online se despreocupan de su mantenimiento.



@twitter-14090754:disqus de acuerdo en lo que comentas. Aquí también entraría el análisis de riesgos de mantener una infraestructura vulnerable frente al coste/riesgo de su actualización.



Gracias!
Emilio

LittleEnder dijo...

Es un grandisimo servicio este, aunque ya se me ocurre algún uso maligno para el mismo, pero de momento ya esta sirviendome para mejorar la seguridad de un par de webs que gasto.

Muy grandes SbD!! (y colaboradores)

adrian dijo...

no sé si seré yo pero no me funciona, entro a la web, pongo la url del sitio que quiero analizar, se pone a cargar y luego me vuelve a mostrar la página como al principio, no me genera ningñun informe...