Los sitios web con más valor de concienciación según desenmascara.me

Ayer los compañeros de SecurityByDefault tuvieron la cortesía de publicar en su blog un artículo sobre el servicio de concienciación de seguridad de sitios web desenmascara.me. A raíz de ello la noticia saltó en varios foros especializados y se hizo eco en la web de la asociación de Internautas.

Todo ello provocó un uso muy intensivo del servicio durante el viernes 11, en el cual sufrí algún problema con mi correo electrónico debido a un límite en una de las APIs y el consiguiente flujo de correos avisando del fallo a mi cuenta de gmail. Esto provocó que el sistema automático de gmail bloquease todo el correo que me llegaba a dicha cuenta hasta que tras unas horas conseguí resolver el problema. Pero lo bueno es que el servicio aguantó la carga y a partir de ahora tendré más datos para mejorar el servicio y sobre todo sacar estadísticas y datos sobre causas-efectos en el mantenimiento y arquitectura de los sitios web sobre su seguridad.

Por ahora, os dejo una lista de los 10 sitios web con más puntuación en concienciación de seguridad (no se muestran aquellos que al analizar pulsaron el check de no mostrar, ni los que pertenecen a la misma infraestructura como por ejemplo; google.es, google.cl).

1. https://twitter.com
2. https://www.google.com
3. http://www.fluidsignal.com
4. http://www.freebsd.org
5. http://www.svtcloud.com
6. http://www.fundacionctic.org
7. http://elamarill0.blogspot.com
8. http://play.google.com
9. http://www.elladodelmal.com
10. http://seguridadapple.com

Estoy preparando una nueva sección en desenmascara.me para mostrar diferentes tipos de estadísticas como:

• Características de los sitios más concienciados
• Características de los sitios menos concienciados
• Cantidad de sitios vulnerados
• Software de los sitios que han sido vulnerados
• ....

Detectando sitios web modificados (defacement) y con spam oculto

Ejemplo del servicio web desenmascara.me detectando un defacement en un sitio web:

Aviso del servicio desenmascara.me

Sitio web con el defacement

Otro ejemplo esta vez detectando spam en otro sitio web (conocido), concretamente en un subdominio, pero que no era visible a través de una navegación normal por el sitio:

Mensaje informando del posible spam

Detalle del posible spam

Hay que indicar que esta característica de detección de spam, no cuenta para la valoración en concienciación de dicho sitio web, ya que puede haber sitios que contengan dicho patrón y se trate de sitios legítimos. Al igual que hay gente para los cuales la recepción de spam con viagra no es spam :-)

Resaltar también que últimamente estoy viendo gran cantidad de sitios comprometidos cuyo patrón común es; que se trata de CMSs con Joomla versión 1.5 y 1.6, así que si tienes un sitio web en esa plataforma, preocupate de su actualización.