Desenmascara.me

Luxury & Fashion brands; be aware of the online counterfeiting!: desenmascara.me

lunes, 4 de mayo de 2015

8 riesgos de seguridad al tener un sitio web

"Imagina que estas conduciendo un coche cuando de repente pierdes el control. No es que tu coche este fuera de control, si no que el control lo tiene un tercero de forma remota. El coche esta siendo conducido de forma peligrosa, causando accidentes y poniendo en peligro a todo el que se encuentre a su paso. Ciencia ficcion?, en tu coche si, pero eso es lo que ocurre en los sitios web."


Si eres responsable de un sitio web, bien sea corporativo, personal, de asociación o cualquier otro tipo te interesará saber los 8 riesgos a los que estas expuesto:



1. Defacements: Como le ocurrió al sitio web de malaysiaairlines, o los que ocurren a diario en sitios web de todo tipo


Defacement de sitio web




Detección de defacement con desenmascara.me




                                                                   Detección de defacement en web Gubernamental


                                                                  Detección de código malicioso en sitio web con desenmascara.me



3. En la lista negra de Google: Esta tecnología de Google se lanzó en el 2008, presente en los navegadores Chrome y Firefox por defecto. Seguro que muchos, mientras navegábais por la web os habéis encontrado con el famoso: visitar este sitio puede dañar tu equipo. Eso es SafeBrowsing, la lista negra de Google para sitios web con malware y phishing. Miles de sitios web son incluidos en dicha lista sin el conocimiento de sus propietarios.


Periodico español en la lista negra de Google



Sitio web de empresa en la lista negra de Google, detectado por desenmascara.me




Web del sector de energía en la lista negra de Google, detectado por desenmascara.me




En este caso también se detectaba el código malicioso, como en el punto 2.




4. Distribuyendo SPAM sin saberlo: Algún sitio web de Apple no es inmune a este problema. Es un problema muy común y hay diversas técnicas, como por ejemplo, poner los enlaces/etiquetas de Spam del mismo color que el background del sitio donde los has colocado para que no cante a simple vista.


5. Sitios web falsos o no oficiales: Cuando realizas una compra o adquieres un servicio por internet, ¿estás seguro del sitio web en cuestión?. Si vendes algun producto o servicio en Internet susceptible de ser falsificado surgiran cientos de sitios web aprovechandose de tu marca.


Sitio web no oficial de la marca Belstaff



Aviso de sitio no oficial en desenmascara.me




6. Caducidad del dominio: No es algo inusual, le ocurrió a la banca escocesa, entre otros



Aviso de caducidad en pequeño sitio web con desenmascara.me



Aviso de caducidad en sitio web de comercio electrónico




7. Fallos temporales: Bien sea intencionado -por mantenimiento o pruebas- o no, la realidad es que a veces te puedes encontrar con que un sitio web muestra más información de la que desearía.




Sitio web de un corporación con la BBDD completa disponible





Aviso de revelación de datos con desenmascara.me




8. Fallos críticos que afectan a la plataforma web: Como los más recientes casos de Wordpress, Magento o  Drupal. Tan críticos que en el caso de Drupal se dijo: asume que todos los Drupal version 7 estan comprometidos si no se actualiza.



Aviso de plataforma Magento potencialmente vulnerable



En definitiva, no dejes que tu sitio web sea un objetivo fácil para que cualquiera se pueda aprovechar de él, y preocúpate de mantenerlo en buenas condiciones. Por ello, para ayudarte a mantenerte informado sobre tu sitio web, estoy probando un nuevo servicio de alertas sobre eventos como los descritos. Tan solo tienes que darte de alta, con un sitio web, y únicamente recibirás notificaciones en caso de que algo se detecte en el sitio web.


A modo de referencia este un pequeño gráfico con algunos ejemplos de los casos de uso del servicio web desenmascara.me que presente en la BlackHat.