03/05/2024

Uncategorized

Herramienta para validar seguridad de sitios HTTPS

Guido Rosales 12/09/2017

A pedido de muchas personas y sobre todo administradores de TI, que quieren validar la instalación de sus certificados digitales en sus sitios https les envío una de las herramientas mas completas y fáciles de utilizar.

el enlace es https://www.ssllabs.com/ssltest/ 

Aparece una pantalla donde es necesario solamente copiar la dirección del sitio a analizar, para el ejemplo, el sitio de yanapti.com https://yanapti.com/

El resultado se despliega en unos pocos minutos:

En este caso se obtiene una calificación de A, aun existen opciones de A+, se puede mejorar, pero ya es riesgo TOLERABLE!!

Sin embargo y lamentablemente se siguen recibiendo calificaciones no tan agradables considerando que se ha inducido al mito de https=sitio seguro.

Lo bueno es que el reporte de la herramienta dice que hacer, donde se debe corregir la vulnerabilidad detectada.

Lo malo es que como se ve en el ejemplo, muchos sitios mantienen su estado.

La ejecución de la herramienta no es intrusiva siendo que el certificado digital es una facilidad del navegador y no información confidencial.

Esperamos que los administradores de sitios HTTPS puedan comprender que los sitios deben SER y PARECER.

Las transacciones electrónicas no reciben un favor con sitios vulnerables. Estamos viviendo cada día situaciones de galopante inseguridad, entonces TODAS las medidas y prevención debe ser bienvenida y tomada en cuenta.

 

Pueden completar esta lectura con los siguientes articulos

 

https://yanapti.com/index.php/2017/09/01/https-todos-los-sitios-la-misma-seguridad/

 

https://yanapti.com/index.php/2017/08/25/certificados-vemos-brechas-no-sabemos/

 

PCIDSS40

Cumplimiento PCI – Reglas del Firewall

Guido Rosales 04/09/2017

Si bien en nuestro país "parece" que el tema de cumplimiento PCI se ha relajado, no olvidemos que nuestros dos principales Administradores de Tarjetas debito/credito han entrado no hace mucho bajo la regulación y control de ASFI. Una ya ha certificado el pasado año su cumplimiento PCI y la otra este año. Ahora si, con los principales actores Certificados, el escenario cambia.

Esperamos que ahora se pase a la fas de hacer cumplir a los Entidades Financieras que ofrecen estos servicios.

No era muy razonable que se obligue a las Entidades Financieras cuando las Administradoras de tarjetas ni siquiera eran reguladas por ASFI. Creo que ahí se les fue un poco la lógica, dado que la principal fuente de Contaminación PCI no estaba cubierta.

Entonces la lectura hacia adelante es que se retome este control por parte del los reguladores. Aun si me equivocara, hacerlo no perjudica al negocio.

PCI tiene un enfoque de seguridad de tinte Minimalista!!. Mientras mas pequeño sea el ámbito PCI, el control es mejor. Mientras menos perjudiquen, la seguridad es mas administrable.

Uno de los puntos a controlar se refiere a las reglas del Firewall

Adjuntamos dos ejemplos, el primero un estado de no cumplimiento PCI

El segundo cuando las reglas han sido definidas. Por supuesto que a esta validación se debe acompañas las correspondientes políticas, normas y procedimientos.

Desde Yanapti recomendamos retomar o mantener los proyectos PCI. Al final la lógica binaria de cumplimiento ayuda mucho y despeja las eternas discusiones a las que llevan estándares como ISO 27001 o metodologías como COBIT cuando el Riesgo determina la dirección.

Con PCI el estado es Binario. Se tiene o no, independiente del riesgo. Este ayuda después de cumplir y no se usa como instrumento de escape.

BOTOPEDIA – Identificando BOTs

Guido Rosales 02/09/2017

Sin duda el trafico generado por los BOTs, se digan buenos o aquellos identificados como malos, inclusive los que no se definen esta complicando el trafico mundial.

BOTOPEDIA es un sitio promocionado por Imperva - Incapsula donde encontraran referencias de BOTs, buenos, malos e indecisos.

El enlace http://www.botopedia.org/ 

Es una consecuencia muy lógica. Con tanta informacion, sin duda el Internet ya tiene cientos de PETABytes, para los humanos es imposible digerir tal cantidad de informacion.

Tanto a nivel de empresas como de Países están con el afán de hacerse de la mayor cantidad de informacion. Al final, primero hay que tenerla y luego se vera que hacer.

Estamos observando servicios que solo deberían hacer disponibilidad pero se la pasan descargando todo el contenido de los sitios monitoreados. ? para que? Ahora potencialmente todo cliente de cualquier aplicación puede reclutar equipos a la BOTNET. El concepto de TROYANOS es mas vigente que nunca!!

Y hablamos de TODOS los programas que se instalan y les damos derechos sobre todo!! compiten por salir y llevar cosas o llamar a otros mas grandes y malosos. El tema de BOTs nos esta desbordando.

Pero el tema de los BOTs no es algo que debe ser agregado por defecto. Sin duda si tienes un negocio con alcance masivo te favorece contribuir a la indexacion y despliegue mundial de tu información. Es difícil aislarse por completo. Quizá hay que tomar un bando y ni modo, ser de ese equipo!!

Todos los grandes tienen sus BOTs que están visitando tus contenidos para diferentes fines.

Tener contenidos, indexarlos y proponerse como sitios interesantes. Pero también están aquellos buscando cosas que se fugaron sin el debido cuidado: direcciones de correo electrónico, números de cuenta, números de tarjetas, usuarios de sistemas, archivos de configuración, archivos de claves, aplicaciones vulnerables, etc, etc.

Ojo que muchos BOTs buscaran propagarse entre tus conocidos y sitios que visitas. Como el perro que acompaña al amo, el BOT se ira propagando de la mano de malware

Como se observa en este gráfico, en un sitio de laboratorio con contenido aparentemente sustancioso se observa visitas de BOTs malitos, identificados con IPs bolivianos.

No se puede afirmar que un acceso identificado como BOT sea algo intencional. Puede ser que el usuario final no sabe que estos bichos ya conviven con el. Sin embargo el tratamiento tendrá que ser Bloqueo manual o en un extremo a la primera bloqueo de IPs.

En la imagen un sospechoso que por principio de "ante la duda, dispare" quedara bloqueado!!

Con seguridad el tema de Proxys tratara de confundir esto, lo mismo que VPNs. Pero no todo el trafico a todos los sitios debe ser masivo. Algunos sitios se deben proteger bajo el slogan  "Nos Reservamos el derecho de admisión" y otros que si deben ser masivos pueden tener su identificación de membresia o en términos técnicos "Gestión de Identidades" con doble factor de autenticacion y otras restricciones.

Si son BADBOTs los que complican la vida, se deben utilizar también BOTs para administrar los accesos. Caso contrario es humanamente imposible filtrar ingentes cantidades de datos y trafico.

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023