Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

martes, 27 de noviembre de 2012

Concienciando en la seguridad de los sitios web

En junio de este año se cumplieron 5 años del servicio de navegación segura de Google. Esta es la imagen que muestra ahora Chrome cuando llega a un sitio web infectado.



Recordemos algunos números:

  • Se detectan 9500 nuevos sitios web maliciosos cada día. Blogs personales, sitios web de pequeñas y medianas empresas o sitios creados especialmente para distribuir código malicioso.
  • El 49% de los propietarios de los sitios web se enteran por estos avisos de Google.
  • 1 de cada 5 propietarios admiten que les ha podido ocurrir por no actualizar el software de su sitio web
  • 2 de cada 3 propietarios no saben como su sitio web ha sido comprometido.

Ante estos números, estamos ante un caso claro de poca concienciación, o despreocupación en cuanto a la seguridad de los sitios web. Con mi granito de arena, para ayudar a concienciar (y por otros temas), estoy trabajando en un pequeño proyecto en forma de "prueba de concepto" para intentar concienciar sobre la seguridad de los sitios web, y que se tomen medidas antes de que este problema ocurra, y si al final ocurre, intentar informar sobre lo sucedido. En breve, el proyecto estará disponible para poder probarlo, mientras os dejo una pequeño ejemplo de informe:

Análisis de un sitio comprometido:


El valor (la puntuación) se extrae a partir de un análisis del software y arquitectura del sitio web, cuanto más baja, más posibilidades de que el sitio web sea objeto de este tipo de problemas. Además muestra un mensaje informativo indicando cual ha podido ser la causa.

Muestra más en detalle del análisis y posibles causas del origen por el cual el sitio está categorizado por Google como "Sitio web que contiene software malicioso".



DESENMASCARA.ME en breve disponible para probarlo.


viernes, 9 de noviembre de 2012

Colaborando con la CSA

La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro creada para promover y crear unas buenas prácticas de seguridad en el entorno Cloud, y proporcionar educación sobre su uso de una forma segura. Cuenta con varios grupos de trabajo en los cuales se puede colaborar, y creo es muy interesante, tanto para mantenerte al día de conocimientos en este entorno como ganarlos y aprender de otros compañeros de profesión. 

Uno de los documentos que ha publicado recientemente es: Security as a Service. Dicho documento surge porque en la actualidad, vendedores de soluciones de Seguridad se están basando en modelos cloud para proporcionar sus servicios. Este cambio ocurre por una gran variedad de razones incluidas las grandes economías de escala y los mecanismos de distribución de servicio actuales. Pero independientemente de las motivaciones de este cambio de paradigma, los consumidores ahora se enfrentan a la evaluación de soluciones de seguridad de servicios que no están en sus instalaciones. Los consumidores necesitan comprender la naturaleza única de los servicios de seguridad proporcionados en modelo cloud, de forma que se encuentren en una posición de poder evaluar y comprender que es lo que se ofrece y comprobar si se ajusta a sus necesidades.

En este documento de Security as a Service se ha intentado definir que significa, se han categorizado diferentes tipos de Seguridad como servicio y se proporciona una información considerablemente práctica para poder implementarlo en las organizaciones de forma razonable.

Esta es la primera versión de las 10 categorías definidas de Security as a Service, proyecto en el que he tenido el privilegio de colaborar.