Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 12 de junio de 2013

Revisa el archivo robots.txt de tu sitio web

Me entero a través del siguiente tweet


y lo compruebo con mis propios ojos. No puede ser, datos identificativos, económicos, etc en un documento público. Quién lo ha configurado no sabía muy bien cual era la función del archivo robots.txt. Este es un error grave, una fuga de información, de datos de nivel medio, que les puede costar una jugosa multa según la LOPD.

Cómo es un problema común; el desconocimiento de este archivo y su funcionamiento, este tipo de incidentes suelen ocurrir. El archivo robots.txt fué creado por Martin Kojster, pero no hay un estándar ni un comité que avale su definición. Todo se basa en unas buenas prácticas acordadas. Algo así como:
una nota en una puerta sin cerradura que indica; "por favor, no entrar". Los robots web buenos lo respetarán, los robots web maliciosos no la respetaran, más aún, será una invitación para el abuso.
Es importante comprender que este archivo no protege ni puede ocultar contenido ante robots o personas con fines maliciosos.

Los administradores web y desarrolladores a menudo desconocen las implicaciones de este archivo, así que lo he añadido como check a desenmascara.me para que cualquiera pueda verificar en su sitio web, o en cualquier otro, dicho archivo y comprobar si está configurado de alguna forma susceptible de mostrar datos como en este caso.



Desenmascara.me es un servicio web cuyo objetivo es concienciar sobre la seguridad de los sitios web. No hace nada que se considere 'ilegal', su funcionamiento es totalmente pasivo e inofensivo para los sitios web. Unicamente extrae todos los metadatos posibles y los interpreta.

lunes, 3 de junio de 2013

HackMiami 2013

Tuve la oportunidad de asistir a HackMiami y presentar "Raising security awareness among web owners and users". Personalmente fué un desafío ya que era la primera vez que presentaba en un evento de este tipo, y en inglés. Y fué toda una experiencia, aconsejable y muy positiva.


La conferencia empezó el sabado 18 de Mayo con una keynote sobre el panorama actual de malware a cargo de Dave Marcus y finalizó el domingo a las 17 con una ceremonia de clausura y regalos para asistentes. La conferencia tuvo 2 tracks paralelas, 1 CTF y una sala multieventos donde se proyectaban trailers, música DJ y se podía charlar. El viernes 17, un día antes del inicio de la conferencia, organizaron un curso sobre "Pentesting" por Rod Soto, el ganador del CTF 2012 de la BlackHat Las Vegas. Asistí a dicho curso, y tuve la oportunidad de conocer a muy buena gente, tanto de Miami como de otros sitios de EEUU que acudían a la conferencia ese fin de semana.

Lo que más me llamó la atención de la CON fué el WorkShop de Armitage, y la energía de Raphael Mudge, su creador. Personalmente me quedo con 2 charlas; Malware automation de Christopher Elisan y Advances in Web application and browser security de Scott Behrens y Ben Toews, otra charla que me hubiese gustado ver pero no pude fué: Hack and Slash with Pythonect de Itzik Kotler. En definitiva, aunque se notaba que era la primera edición, las charlas eran interesantes, había un muy buen ambiente, ya que al tratarse de una conferencia no muy concurrida, tenías oportunidad de hablar con speakers y asistentes e intercambiar ideas, que al fin y al cabo, es de lo que se trata en estos eventos. Y todo ello en pleno Miami Beach.

Miami Beach a las 7:30 de la mañana

 Desde aquí felicitar y dar las gracias por la oportunidad y el trato a los organizadores de HackMiami, que seguro espero poder asistir a próximas ediciones.