HTML

#NoHacked, Tutorial básico de seguridad para webmasters

Tutorial básico de seguridad para webmasters 

Aporte del blog Portal Webmaster a la campaña #NoHacked.

campaña de seguridad webmaster de google, #NoHacked

Google a comenzado una campaña llamada #NoHacked y su objetivo es concienciar  a los webmasters sobre los peligros informáticos y ayudarlos a mantener sus sitios web seguros. No es la primera vez que Google se preocupa por la seguridad de sitios web.

Esto es lo más fácil  y rápido que podemos hacer: Vamos a herramientas para Webmasters de Google/ Problemas de seguridad. Sin embargo algunas veces no es nuestro sitio el comprometido sino un enlace que conduce a un sitio web con malware.

De todos modos el tutorial abarca algunos aspectos adicionales a la utilización de Webmaster Tools que pueden ayudarnos de forma preventiva. Por ejemplo, cuando queremos colocar un enlace en nuestra web y no estamos seguros de si conduce a un sitio comprometido, en ese caso no podemos usar la Webmaster Tools para averiguarlo, pero con este tutorial podemos hacer algo casi tan bueno como si pudiéramos.

Ayer me puse a pensar y a investigar sobre lo que es necesario saber para mantener un sitio web asegurado, lo básico. Entonces llegué a dividirlo en tres puntos que se deben tratar: La seguridad de la web, la seguridad del webmaster y la seguridad de los usuarios. Estos tres puntos están entrelazados, muy ligados uno del otro, por eso el fallo en uno puede afectar a los otros.

Se suelen poner los créditos al final, pero voy a ponerlos aquí en medio por adelantado: Infospyware y su Guía de eliminación de Malware 2014 (fue escrita en 2011, pero los puntos siguen vigentes), Un informático en el lado del mal, test de seguridad web.


Protección de sitios web


Hay varias formas de comprobar el nivel de seguridad de una web, podemos recurrir a software que nos ayuden con el trabajo y podemos complementarlo con un poco de trabajo manual.

Busqué programas que fueran fáciles de usar y que no necesitaran instalación alguna. Algunos programas útiles que puedes usar online son:

  1. http://desenmascara.me/: Solo es necesario poner la url del sitio que queremos evaluar y nos dará un resultado, este resultado debe ser superior a 20.
  2. https://www.tinfoilsecurity.com/: Aquí es tan fácil como en la web anterior, pero debemos registrarnos y confirmar la propiedad de la web que vamos a analizar, puede ser usando Meta tag u otros métodos. El resultado es privado y lo veremos en nuestra cuenta.

También podemos utilizar URL Void, Norton, Sucuri SiteCheck y otros antivirus para analizar sitios web.

El punto 1 y los antivirus online los podemos usar para verificar enlaces dudosos que nos interesaría compartir con nuestros usuarios, de ese modo podemos estar más seguros de que nuestra web no referencia sitios comprometidos que puedan afectar la seguridad de nuestras visitas. Es fácil suponer que un enlace que no pase la prueba al ser verificado por estos medios no debe ser compartido en nuestra web.

Por ejemplo, la herramienta URL Void verifica en muchas listas, entre ellas GoogleSafeBrowsing.

¿Qué hago si hay virus en mi web?  Puedes usar el navegador Google Chrome y seguir estos pasos para eliminarlo.

El siguiente paso es manual, más o menos un resumen de lo publicado en el blog Un informático en el lado del mal.

1 Lo primero que hacemos es algo sencillo, que fue publicado en algún momento en el blog para webmasters de Google.

Simplemente vamos a Google y colocamos site:(url sin http://) "Cheap viagra".

Un ejemplo:

prueba anti spam para sitios web
Clic para agrandar imagen


Si con este método buscas este blog Portal Webmaster, es posible que encuentres la palabra, pero si el resultado que obtienes es ésta entrada no hay de que preocuparnos.

También puedes probar con otras palabras que comúnmente usan los spammers.

2 Lo segundo son Ficheros con usuarios en los metadatos.

Colocamos en Google:  site:(url sin http://) ext:pdf intitle:"Documents and Settings".

prueba de ficheros con usuarios en metadatos


Los ejemplos mostrados en el blog de Chema Alonso siguen vigentes. Esto por lo general afecta sitios como la página del FBI y de esa clase, pero si tu web almacena datos de muchos usuarios puede ser interesante para un Hacker.

Dudo que esto afecte los sitios web de la mayoría de webmasters como nosotros, pero no está de más andar precavido.

Este segundo método, para que nos hagamos una idea de que va, es de las cosas que mencionó Snowden que hacía la NSA. Los metadatos no aportan información en sí, como si se tratara de un pinchazo telefónico, pero dan otros datos sobre el comportamiento del usuario, como los horarios en que realizan alguna comunicación u actividades.

3 Para ver robots.txt de nuestra web solo basta con colocar "robots.txt" (sin comillas) justo después de la url de nuestro dominio. Por lo visto tenemos que evitar los asteriscos.

Ejemplo: Mipagina.com/robots.txt

Directorios abiertos es algo que parece inusual que pase, pero solo hay que colocar el nombre de una de nuestras carpetas después de la url principal para ver como anda la web en ese sentido. Si muestra la lista de ficheros ya tenemos un problema.

Ejemplo: Nuestraweb.com/adjuntos

4 Sigue los pasos 5 y 6 de Un Informático en el lado del mal: SQL Injection de libro en aplicaciones ASP o CFM con la comilla y Blind SQL Injection de Libro en ficheros PHP.

Estos son pasos para testear el estado de la web, pasos básicos que se pueden realizar x veces al año (una vez al mes por ejemplo, 12 al año). Esto nos permite detectar vulnerabilidades para poder comenzar el proceso de investigación sobre y de corrección de las mismas.

Antes de terminar con este punto quiero hablar sobre una cosa que mucho despierta el interés de los webmasters. ¿Cómo detener un ataque DDoS?

Por lo regular los webmasters, la mayoría, usa servicios de hospedaje o hosting (no tienen servidor propio), pues lo que debes saber es que quien se puede encargar de un problema como este es el servicio de hosting y lo que tú puedes hacer es informarles. En el 2013 Alex Naverro de vivirdelared.com tuvo problemas en medio del concurso de SEO Seorimícuaro,  pero con la ayuda de un técnico de su servicio de hosting logró superarlo.

Algo básico contra los DDoS es conseguir un buen servicio de hosting web. Y hacer copias de seguridad de nuestra web periódicamente también es recomendable.

Si nuestra web está segura nuestros usuarios están más seguros.

Seguridad para el Webmaster

seguridad candado, dibujo
Una buena contraseña es como un buen candado. Pero no pierdas la llave ¿ok?


Lo principal en este punto son las contraseñas, algo que personalmente me parece hasta tedioso. Debemos tener contraseñas distintas para cada cuanta y al mismo tiempo deben ser seguras. Tampoco debemos confiarnos de un programa instalado en nuestra PC pues por un lado corren riesgo de perderse (y con ella nuestras cuentas) si ocurre un daño en la computadora y por otro nos limita a depender de un solo dispositivo para acceder a nuestras cuentas.

Una forma fácil de hacer una buena contraseña es usar el servicio de registro de ebay que es muy riguroso con las contraseñas, probamos la que queremos y nos irá diciendo que grado de seguridad tiene.

Vamos a tener que buscar donde almacenar las contraseñas, sobre todo si no tenemos muy buena memoria. Podemos escribirlas en un blog físico (papel y pluma), o podemos usar servicios en la nube como https://www.passpack.com/.

También podemos usar este método: Abrimos una cuenta de correo en un servicio cifrado como gmail o hotmail (no confundir con encriptado) y almacenamos en un borrador las contraseñas. Aunque esto puede ser menos seguro, pero igual que si usamos un almacenador de contraseñas encriptado solo nos tenemos que preocupar por la contraseña principal.

Recuerda que las contraseñas son privadas, no las digas.

También debemos asegurar nuestro sistema operativo y componentes. Lo principal es actualizar el sistema operativo, pero tener el sistema operativo actualizado no es suficiente, algunos programas desactualizados instalados en el sistema pueden hacer vulnerable el sistema, especialmente los Office y navegadores que ejecutamos constantemente.

Además tenemos que usar pasos para mantener el sistema libre de malware, para eso usamos los pasos publicados en Infospyware pero agregamos algunas cosas:

1 Descargamos SuperAntySpyware (esto es adicional y opcional) y los otros programas eh instalaos, solo no ejecutes Rkill (no requiere instalación)

2 Eejecutamos Rkill (nos aparecerá una ventana DOS)

3 Ejecutamos Malwarebytes  (en lugar del análisis rápido puede ser recomendable uno completo para salir de dudas), nos puede pedir reiniciar el sistema para terminar de eliminar infecciones encontradas. Si es la primera vez que usas Malwarebytes es recomendable que no actives la versión de prueba, aveces causa problemas de incompatibilidad con el antivirus residente.

malwarebytes anti malware, pc infectada
En esta imagen sacada de flickr y que no podemos modificar, podemos ver la versión antigua, no muy diferente a la actual donde tenemos una PC realmente afectada.


4 Ejecutamos Super AntySpyware (opcional, reemplaza el Panda Cloud que puede causar incompatibilidad con el antivirus residente y nos ahorramos posibles problemas por desinstalación). O en lugar de Panda Cloud u Super AntySpyware se puede usar Panda Activescan con IE. Esto lo digo porque el Cloud me ha dado algunos problemas antes.

5 Ejecutamos CCleaner.

Limpiamos con CCleaner y terminamos.

Conste que estos son pasos de eliminación de malware que sigues bajo tu propio riesgo. No son tan peligrosos, pero en Infospyware siempre advierten esto con la ejecución de programas de seguridad, así que ahora estoy haciendo lo mismo.

Finalmente, ten un firewall (cortafuegos) activado, un buen antivirus actualizado y recuerda mantener el sistema actualizado.

Bonus extra (Opcional): Una vez más Google nos da una alternativa de seguridad, podemos usar sus DNS pública para tener la protección del anonimato que proporciona (puedes ver las ventajas de seguridad en esta dirección).

Advertencia: Antes de seguir estos pasos debes recordar esto, si la configuración que harás falla simplemente restablece los valores que tenía tu red para que todo vuelva a la normalidad.

1 Todo lo que tenemos que hacer en Windows 7 es hacer clic en la flecha de la derecha donde tenemos la hora y fecha de nuestra PC, damos clic en la conexión y en la parte de abajo del rectángulo que aparece vemos "Abrir Centro de redes y recursos compartidos".

2 A la derecha veremos "Configuración del Adaptador" y hacemos clic. Dentro hacemos clic derecho sobre la conexión y volvemos a hacer clic en "Propiedades".

3 En Propiedades hacemos clic sobre "Protocolo de Internet versión 4 (TPC/IPv4)". En "Usar las siguientes direcciones de servidor DNS automáticamente" colocamos:


  • 8.8.8.8 en "Servidor DNS preferido"
  • 8.8.4.4 en "Servidor DNS alternativo"
Hacemos clic en "Aceptar".

Ejemplo:

google dns pública


En "Protocolo de Internet versión 6" (TPC/IPv6) colocamos:

  • 2001:4860:4860::8888 
  • 2001:4860:4860::8844 

Damos clic en "Aceptar" y nuevamente en "Aceptar".

Si lo hiciste correctamente puedes experimentar un aumento la velocidad de tu navegación por Internet.

Usamos tantos servicios de Google y pasamos tantas horas en ellos que puede no importar, pero aún así debo hacerte saber que esto permitiría a Google poder conocer más sobre tus hábitos de uso de Internet, aunque no necesariamente sea así.

Ahora nuestros datos están más seguros, nuestra web está más segura y nuestros usuarios están más seguros.


Seguridad para los usuarios

Si mantenemos vigilados los puntos anteriores entonces este punto está bien, aunque aún quedan algunas cosas básicas que podemos agregar.

  1. Se responsable con los sitios que enlazas desde tu web, no enlaces sitios potencialmente peligrosos que puedan comprometer la seguridad informática de tus usuarios.
  2. Igual que en el punto anterior, se muy precavido con la publicidad que usas en tu web, algunos servicios son poco rigurosos para con su clientela y eso puede afectar a tus usuarios cuando hacen clic en los anuncios.
  3. Si en algún momento tu web es vulnerada, impide el acceso a los usuarios hasta que soluciones el problema.

Conclusión


Pienso que aplicando todo esto cumplimos con las seguridad básica con la que un webmaster debe cumplir.

¿Quieres conocer más? Busca información sobre la campaña #NoHacked en sitios web y redes sociales.

¿Quieres agregar más? Únete a la campaña #NoHacked y ayúdanos a mejorar la seguridad de nuestros sitios web.

Publicar un comentario

Google+

Y tú ¿Eres un webmaster?