Estimados amigos del blog,
Cuando realizamos trabajos sobre auditorías de seguridad en empresas, nos encontramos en muchas ocasiones con que las medidas de seguridad propuestas por la empresa son lo que denominamos Seguridad por Oscuridad. Este término viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí. Un ejemplo claro: un servidor web con una página de ejemplo de «no sé qué…». El informático la coloca en el puerto 81, ya que todos sabemos que el puerto por defecto para los servicios web es el 80. El responsable confía en que nadie va a mirar en ese puerto… ¡gran error!.
Esto no quiere decir que, por ejemplo, si tenemos un servidor SSH en un puerto 22, y queremos agregar algo de seguridad, «movamos» el servicio al puerto 2222, o cualquier otro, pero esto no debe ser la medida de seguridad principal, sino un paso más. Las medidas de seguridad del servidor SSH seguirán siendo actualización, usuarios y contraseñas seguras, mecanismos anti brute-force, seguridad de extremos (definir que IPs se podrán conectar) etc. Aquí os paso un pequeño manual de fortificación.
Para los lectores más curiosos os recomendamos una aplicación usada para auditorías denominada Dirbuster. Esta aplicación realiza peticiones a un servidor web para encontrar nombres de ficheros y carpetas «ocultas» o no tan habituales. El uso de esta herramienta contra activos ajenos es ILEGAL, y existen muchas maneras de detectarla, por lo que su uso debe estar restringido a servicios web propios o autorizados. NO JUEGUES con estas cosas sin permiso.
La aplicación es muy sencilla, seleccionas una web, eliges el método de fuerza bruta que vas a emplear, un diccionario o fuerza bruta pura y dura (a,b,c…..aa,ab,ac,ad)
Como se aprecia en la imagen, el manejo es muy sencillo.
Con esta aplicación podremos identificar directorios o ficheros que estaban ocultos, y que, sin embargo, están ahí para usarlos por cualquiera que los encuentre. También nos sirve para detectar seguridad de directorios o ficheros protegidos por permisos en el servidor web, el típico htaccess.
Para los más inquietos 🙂 podemos recomendar que al usar esta herramienta configuremos la cabeceras de la petición que realiza, modificando o añadiendo las mismas. Sugiero cambiar al menos la del User-Agent por uno un poco menos «cantoso». Como sabéis, el User-Agent identifica el navegador usado, y si este es el por defecto, en las medidas defensivas de la web auditada aparecerá algo así como «Te esta atacando un malo».
Como podéis comprobar, para un atacante es muy sencillo encontrar vuestro www.empresa.com/test o www.empresa.com/empleados.txt o cualquier otro recurso que este publicado, y que cuya medida de seguridad sea la ocultación, la seguridad por oscuridad.
Espero que te haya gustado el artículo y recuerda, usa esta herramienta con precaución.