data:newerPageTitle data:olderPageTitle data:homeMsg

jueves, 6 de noviembre de 2008
9:56:00

Por cada comentario que haces, Dios salva un gatito

Más vale algo de paranoia que prevenir para no lamentar : cuida tus dominios!!


Cada cierto tiempo se escuchan historias sobre gente que pierde algún dominio importante en manos de algún sujeto sin escrúpulos. Tal vez el caso mas paradigmático sea el de tonterias.com donde un fallo en Gmail hizo posible que cayera en manos de de quien no debía. En el post de hoy voy a recopilar unos cuantos consejos fáciles de implementar que dejaran el dominio lo mas 'hardenizado' posible.

  1. Dominio Bloquea tu dominio : Mantener el dominio bloqueado hace que, si se intenta una transferencia de dominio aun con un AUTH code valido, sea denegada, y esta restricción es también valida para cambios en los servidores DNS. En el panel de control que ponga a tu disposición la empresa con quien tengas registrado el dominio ha de encontrarse la opción de activar el bloqueo, buscala o pregunta por ella.
  2. Activa el 'Whois Privacy': Muchas empresas de gestión de dominios permiten activar lo que se conoce como 'Whois Privacy' que, básicamente, lo que significa es que a la hora de hacer un 'Whois' a tu dominio (preguntar a una base de datos PUBLICA y accesible A CUALQUIERA que gestiona la información asociada al dominio) no obtendrán información que se pueda volver contra ti. Por ejemplo, si haces accesible a cualquiera la dirección de correo electrónico que gestiona tu dominio ¿Donde irán a parar los posibles intentos de secuestro?. Un servicio de 'Whois Privacy' ampliamente usado es Privacy Protect. Consulta a la empresa donde tengas contratado tu dominio por esta opción.
    Por ejemplo si se consulta el whois de securitybydefault.com los datos asociados son estos:
Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
Note - All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Y al final del whois aparece esta información notificando que el dominio se encuentra BLOQUEADO:
Status:LOCKED
Note: This Domain Name is currently Locked. In this status the domain name cannot be transferred, hijacked, or modified. The Owner of this domain name can easily change this status from their control panel. This feature is provided as a security measure against fraudulent domain name hijacking
  1. Defiéndete contra ataques de tipo XSS y CSRF: El caso mencionado anteriormente de tonterias.com pudo suceder debido a un fallo de tipo CSRF en Gmail. Cualquier aplicación 2.0 basada en la web es susceptible de sufrir este tipo de vulnerabilidades, sea un webmail, sea facebook o Blogger. Tanto en el caso de un ataque XSS seguridad_hackers como CSRF, el escenario necesario para hacer 'diana' se basa en tener una sesión abierta en la aplicación que se pretende atacar y visualizar otra pagina que contenga el código malicioso. En este punto hacer notar un falso mito sobre el tema: SSL NO te defiende de este tipo de ataques, el hacer pasar tu sesión por SSL lo único que impide es que alguien consiga 'snifar' la cookie de acceso.
    Como primera defensa, empieza por usar una cuenta de correo para gestionar tu dominio que no sea la tuya habitual con la que gestionas otro tipo de temas. Si te planteas usar un webmail, huye de aquellos que sabes serán los que mas 'ojos maliciosos' tienen puestos encima, como Gmail o Yahoo y dale una oportunidad a sitios como Hushmail que sustancialmente es el mismo concepto de Webmail pero tiene una vocación orientada a la privacidad / seguridad.
    Y finalmente la solución mas paranoica pero la 99% mas efectiva: Usa un navegador única y exclusivamente para coger el correo electrónico de la cuenta asociada a tu dominio. Como decía antes, casi todos los bugs que permiten 'secuestrar' sesiones en webmails tienen como premisa tener una pestaña o ventana abierta en el webmail y navegar por sitios con contenido malicioso, por tanto, si empleas un navegador solo para leer esa cuenta de correo y bloqueas el resto de URLs tendrás una mas que razonable protección. ¿Como bloquear el resto 'de internet'? Muy fácil, en las opciones de tu navegador configura un proxy inexistente que apunte, por ejemplo, a 127.0.0.1 y añade como excepción para que no pase por el proxy únicamente la web de tu webmail. Puedes usar Firefox como navegador habitual y tener configurado Chrome para acceder a Hushmail.
El presente artículo NO ha sido modificado en su contenido pero si se le han agregado enlaces para complementar la información. Eventualmente también se han agregado imágenes o modificado las existentes. También puede haberse resaltado algunos segmentos que considero importantes o interesantes a criterio personal. Para ver el artículo original por favor hacer uso del apartado Fuentes que se incluye al final de este post.

____________________________
Artículo Fuente : Consejos para proteger tu dominio
Autor / Publicado por : Yago Jesus
Web Site / Blog : Security by Default


*****

0 comentarios:

Haznos saber tu opinión

Todo comentario es bien recibido. Pero debes de tener en consideración los siguientes puntos:
1. No se permitirán insultos.
2. No se permitirá comentarios únicamente con publicidad. En todo caso te sugiero enviar un mensaje privado para ver el tema.
3. No se permitirá ningún tipo de ataque, agresión ni apologías de ningún tipo que inciten a la violencia o reacciones violentas. Se puede criticar y entablar debate sin necesidad de agredir a nadie.
4. No se permitirá ningún tipo de discriminación, segregación ni racismo.

Todos los comentarios serán sujetos a moderación, así que por favor les pido un poco de paciencia. Muchas gracias por comentar en este blog.



Coméntalo en Facebook

data:newerPageTitle data:olderPageTitle data:homeMsg

Publicados en esta categoría...

Suscribete a De Copy and Paste