jueves, 6 de noviembre de 2008

Más vale algo de paranoia que prevenir para no lamentar : cuida tus dominios!!

Cada cierto tiempo se escuchan historias sobre gente que pierde algún dominio importante en manos de algún sujeto sin escrúpulos. Tal vez el caso mas paradigmático sea el de tonterias.com donde un fallo en Gmail hizo posible que cayera en manos de de quien no debía. En el post de hoy voy a recopilar unos cuantos consejos fáciles de implementar que dejaran el dominio lo mas 'hardenizado' posible.

  1. Dominio Bloquea tu dominio : Mantener el dominio bloqueado hace que, si se intenta una transferencia de dominio aun con un AUTH code valido, sea denegada, y esta restricción es también valida para cambios en los servidores DNS. En el panel de control que ponga a tu disposición la empresa con quien tengas registrado el dominio ha de encontrarse la opción de activar el bloqueo, buscala o pregunta por ella.
  2. Activa el 'Whois Privacy': Muchas empresas de gestión de dominios permiten activar lo que se conoce como 'Whois Privacy' que, básicamente, lo que significa es que a la hora de hacer un 'Whois' a tu dominio (preguntar a una base de datos PUBLICA y accesible A CUALQUIERA que gestiona la información asociada al dominio) no obtendrán información que se pueda volver contra ti. Por ejemplo, si haces accesible a cualquiera la dirección de correo electrónico que gestiona tu dominio ¿Donde irán a parar los posibles intentos de secuestro?. Un servicio de 'Whois Privacy' ampliamente usado es Privacy Protect. Consulta a la empresa donde tengas contratado tu dominio por esta opción.
    Por ejemplo si se consulta el whois de securitybydefault.com los datos asociados son estos:
Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Y al final del whois aparece esta información notificando que el dominio se encuentra BLOQUEADO:
Status:LOCKED
Note: This Domain Name is currently Locked. In this status the domain name cannot be transferred, hijacked, or modified. The Owner of this domain name can easily change this status from their control panel. This feature is provided as a security measure against fraudulent domain name hijacking
  1. Defiéndete contra ataques de tipo XSS y CSRF: El caso mencionado anteriormente de tonterias.com pudo suceder debido a un fallo de tipo CSRF en Gmail. Cualquier aplicación 2.0 basada en la web es susceptible de sufrir este tipo de vulnerabilidades, sea un webmail, sea facebook o Blogger. Tanto en el caso de un ataque XSS seguridad_hackers como CSRF, el escenario necesario para hacer 'diana' se basa en tener una sesión abierta en la aplicación que se pretende atacar y visualizar otra pagina que contenga el código malicioso. En este punto hacer notar un falso mito sobre el tema: SSL NO te defiende de este tipo de ataques, el hacer pasar tu sesión por SSL lo único que impide es que alguien consiga 'snifar' la cookie de acceso.
    Como primera defensa, empieza por usar una cuenta de correo para gestionar tu dominio que no sea la tuya habitual con la que gestionas otro tipo de temas. Si te planteas usar un webmail, huye de aquellos que sabes serán los que mas 'ojos maliciosos' tienen puestos encima, como Gmail o Yahoo y dale una oportunidad a sitios como Hushmail que sustancialmente es el mismo concepto de Webmail pero tiene una vocación orientada a la privacidad / seguridad.
    Y finalmente la solución mas paranoica pero la 99% mas efectiva: Usa un navegador única y exclusivamente para coger el correo electrónico de la cuenta asociada a tu dominio. Como decía antes, casi todos los bugs que permiten 'secuestrar' sesiones en webmails tienen como premisa tener una pestaña o ventana abierta en el webmail y navegar por sitios con contenido malicioso, por tanto, si empleas un navegador solo para leer esa cuenta de correo y bloqueas el resto de URLs tendrás una mas que razonable protección. ¿Como bloquear el resto 'de internet'? Muy fácil, en las opciones de tu navegador configura un proxy inexistente que apunte, por ejemplo, a 127.0.0.1 y añade como excepción para que no pase por el proxy únicamente la web de tu webmail. Puedes usar Firefox como navegador habitual y tener configurado Chrome para acceder a Hushmail.
El presente artículo NO ha sido modificado en su contenido pero si se le han agregado enlaces para complementar la información. Eventualmente también se han agregado imágenes o modificado las existentes. También puede haberse resaltado algunos segmentos que considero importantes o interesantes a criterio personal. Para ver el artículo original por favor hacer uso del apartado Fuentes que se incluye al final de este post.

____________________________
Artículo Fuente : Consejos para proteger tu dominio
Autor / Publicado por : Yago Jesus
Web Site / Blog : Security by Default

No hay comentarios.:

Publicar un comentario

AVISO:
Muchas gracias por considerar dejar un comentario. Te pido por favor que tengas en cuenta las siguientes pautas:
1. Evita usar lenguaje prosaico u ofensivo, y mantener siempre el respeto por todos.
2. Respeta las opiniones de los demás y no cometas el error de atacarlos de manera insultante o prosaica.
3. Si no estas de acuerdo con el tema publicado, ambos sabemos que hay forma de realizar una crítica sin ofender ni agredir.
4. También queda prohibida los enlaces de promoción o publicidad descarada.
5. Finalmente te pido que no utilices abreviaturas en tus respuestas para poder mantener una armonía en la lectura de los mensajes y una mejor comprensión de la lectura.

Y como muestra de mi gratitud por tu visita y comentario, si tienes sitio web o blog y has ingresado ese dato u OpenID, agregaré tu web o blog en mi sección Blogs de amistades y/o que me gusta visitar seguido.

En caso contrario tu comentario podría ser eliminado. Aprecio mucho que consideres esta petición de mi parte. Muchas gracias por tu comprensión.

Nota: sólo los miembros de este blog pueden publicar comentarios.

Una marmota en el barrio de Lima

Historias de una cocina

El cine que compartí

El Alquimista del Diseño Web