Cuando creamos una página Web queremos estar seguros de que todos pueden verla correctamente, se carga rápido y es suficientemente segura para que los hackers no puedan burlar su sistema. Aquí os dejo 3 herramientas que ayudarán a cubrir estas necesidades:

1. Accesibilidad: A-Checker es una herramienta de tests de accesibilidad. Sólo tendrás que introducir la URL de tu página y subir el archivo html que quieres evaluar. El programa testea automáticamente si tu código cumple con los estándares HTML.
2. Rapidez: Pingdom Full Page Test es un tester completo que cargará toda tu Web, incluidas las imágenes, CSS, flash, y cualquier otro contenido de tu página. Luego, por un lado evaluará la rapidez de transferencia total, y por otro te informará de la velocidad de carga de cada uno de estos elementos por separado.
3. Seguridad: Zero Day Scan es un servicio online que detecta las vulnerabilidades de tu Web, como por ejemplo el Cross-Site Scripting (XSS), inyección SQL, y otras. A partir de este análisis, genera un resumen de resultados. Ten en cuenta que requiere la confirmación del propietario de la página.

0 comentarios

Mastercard acaba de ganar un caso de disputa de dominios presentando una queja ante WIPO y exigiendo la transferencia del nombre del dominio mastercard-brasil.com. El nombre fue adquirido por Pattishall McAuliffe, y tras la decisión del jurado, ha pasado a manos de la gran compañía de crédito.

Los argumentos presentados por Mastercard se basaban principalmente en la violación de sus derechos sobre la marca registrada y, además, añadieron que el antiguo propietario del dominio estaba haciendo mal uso del nombre, intentando recoger información personal de los usuarios que llegaban por error a su Web cuando intentaban dirigirse a la página oficial de Mastercard.

Esta claro que este nombre de dominio ha violado varias normativas, especialmente la de lso derechos sobre la marca registrada Mastercard, pero dudo que utilizara el dominio con malas intenciones, ya que, según fuentes, el dominio ha permanecido inactivo desde su registro. ¿Cómo podía obtener información de los usuarios si no tenía página Web?

Fotografía | www.flickr.com

0 comentarios

El protocolo de Transferencia de Hiper-Texto (HTTPS) es la versión segura de el http (Hyper Text Transfer Protocool) que todos conocemos y utilizamos habitualmente. La diferencia es que, con HTTP podemos desarrollar actividades ecommerce, ya que permite realizar transacciones de forma segura.

En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo https podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.

¿Y cómo funciona la conexión exactamente? ¿Por qué es más segura? Básicamente, lo que ocurre es que la página Web codifica la sesión con certificado digital. De este modo, el usuario tiene ciertas garantías de que la información que envíe desde dicha página no podrá ser interceptada y utilizada por terceros.

Estos certificados de seguridad son conocidos como SSL. Cuando estos estás instalados en la página Web veremos el candado del que hablábamos anteriormente. Por otro lado, si están instalados Certificados de Validación Extendida, los usuarios, además del candado, podremos ver que la barra de URL’s del navegador toma un fondo verdoso. (siempre que estemos utilizando las últimas versiones de Firefox, Explorer o Opera).

Fotografía | www.flickr.com

0 comentarios

Ayer hablábamos de una aplicación tester para aumentar la seguridad y estabilidad de nuestra página. Pero existen muchas otras herramientas de este tipo, y lo mejor de todo, también son gratuitas. Sin embargo, no hay tantas aplicaciones que pongar a prueba el servidor Web directamente y menos aún que estén diseñadas para servidores Windows.

Wikto, que aparentemente debe su nombre a Nikto (una herramienta basada en Unix), es un escáner totalmente gratuito y libre, que realiza una búsqueda en el entorno de un servidor Web Windows para encontrar vulnerabilidades. A diferencia de las aplicaciones escáner que se centran en el código, Wikto se encarga de todo el servidor.

Wikto se basa en un entorno .NET, así que deberías tener .NET instalado en tu máquina Windows si te interesa utilizarlo. Puedes encontrar documentación completa en la página Web de Senspost, y también puedes descargarlo directamente.

0 comentarios

Existe una forma de ocultar la versión de Apache de tu servidor y varias razones por las que deberías hacerlo. Algunos aspirantes a hacker podrían estar interesados en tu versión de Apache, así podrían aprovechar las vulnerabilidades que saben que tiene tu servidor.

Lo ideal sería actualizar siempre el software de tu servidor, siguiendo los consejos de serguridad para protejer nuetras bases de datos, pero a veces no tenemos demasiado tiempo o aparecen problemas de donde menos nos lo esperamos y, entonces, comienzan a haber agujeros por todas partes.

Para ocultar la versión de Apache del servidor Linux a tus visitantes, modifica el archivo de configuración de Apache, añadiendo estas directivas:

ServerTokens ProductOnly
ServerSignature Off

Si utilizas una distribución de Linux basada en Redhat, tendrás que editar el archivo httpd.conf que encontrarás en la carpeta /etc/httpd.

Y así de fácil, a partir de ahora ningún usuario podrá conocer la versión de Apache que tienes instalada en tu servidor Linux.

Fotografía | www.flickr.com

0 comentarios

Permitir el acceso a todo tipo de código PHP en tu servidor Web abre la puerta a muchos problemas de seguridad. Nunca se sabe cuando un atacante puede seleccionar tu servidor y convertirlo en su próximo objetivo. Por esta razón, cualquier código en ejecución puede ser un vía de ataque y PHP no es una excepción. Hace unas semanas ya vimos otros programas interesantes como phpSysInfo, que resumía la información más importante de nuestro servidor Web. A continuación veremos PhpSecInfo, una herramienta similar que elevará los niveles de seguridad mínima de nuestro servidor.

PhpSecInfo es una buena herramienta PHP para defenderse de este tipo de ataques. Se trata de una aplicación que mostrará la información sobre la seguridad de un código PHP y te sugerirá ideas para mejorarlo. Claro que, se trata de un método de baja seguridad, si lo que quieres es protejer tu servidor de forma seria, PhpSecInfo no es suficiente.

Por ejemplo, PhpSecInfo no examina tu código PHP para detectar vulnerabilidades, de hecho, ya deja claro en su Web oficial que no se encarga de educar para las prácticas seguras de programación. En lugar de esto, se centra en aportar información sobre el propio entorno PHP y como configurarlo en tu servidor.

Instalar PhpSecInfo es muy fácil, ya que es en si mismo un código PHP. Sólo tendrás que descomprimirlo en una carpeta de tu servidor y abrir la URL en el navegador. Puedes descargar PhpSecInfo desde la página de PHP Security Consortium. Además, es software gratuito, libre, y se distribuye bajo la nueva licencia BSD.

Vía | www.phpsec.org

2 comentarios

La Central e-Crime Unit (PCeU) de la Metropolitan Police inglesa ha anunciado hoy que, de acuerdo con el Registro para la extensión .uk, ha cerrado mas de 1200 dominios .co.uk.

Estos dominios pertenecían a organizaciones criminales que se gestionaban a través redes dedicadas al scamming y phishing. Muchos de estos sitios web se parecían a tiendas on-line que ofrecian la posibilidad de ordenar productos variados a precios extrañamente bajos. Los usuarios, creyéndose listos, se lanzaban sobre estas ofertas y eran robados utilizando sus datos personales y cuentas bancarias.

La investigación ha descubierto que este sistema producía ganancias de muchos millones de euros para el crimen organizado. En general es difícil identificar y perseguir el Cybercrimen, sin embargo, en esta ocasión la PCeU ha conseguido hacer justicia.

Fotografía | www.flickr.com

0 comentarios

Los emails formulario son lo que suelen emplear los hackers para distribuir spam, utilizando métodos de inyección y confianza. Si utilizas scripts de matts o alguna de sus versiones, tu servidor podría ser vulnerable a algunos ataques de este tipo.

Para averiguar si este tipo de formularios email están contaminando tu servidor, existe un comando muy fácil de usar. Sólo tienes que introducir en la consola:

find / -name “[Ff]orm[mM]ai*”

Los emails CGIemail también son un riesgo, comprueba que no los sufres:

find / -name “[Cc]giemai*”

Para deshabilitar en envío de emails formularios, teclea:

chmod a-rwx /path/to/filename

Este último comando bloqueará los permisos de lectura, escritura y ejecución de los emails, así que si algún cliente o usuario del VPS suele emplear el email para instalaciones, será mejor que avises con tiempo y ofrezcas una alternativa.

Fotografía | www.flickr.com

0 comentarios

El Pharming se refiere al ataque de un hacker que pretende redirigir el tráfico de un dominio a otro. Puede conseguirse cambiado los archivos del hosting del ordenador de la víctima o aprovechando las vulnerabilidades del software del servidor DNS. Los servidores DNS son ordenadores responsables de traducir los nombres de Internet a sus direcciones reales.

El término pharming es un neologismo que nace de la fusión de dos palabras inglesas: farming y phishing. Como ya sabemos, el phishing se basa en obtener acceso a información personal, como nombres de usuarios y contraseñas. Recientemente, tanto el pharming como el phishing han sido utilizados para robar información privada a través de la red. Sin embargo, el pharming se ha convertido en una de las mayores preocupaciones de las compañías que ofrecen servicios de hosting, así como los comercios online y las páginas de bancos. A pesar de todo, ya existen medidas de seguridad sofisticadas anit-pharming que hacen frente a este tipo de ataques, ya que los programas antivirus y anti-spyware no son suficiente para proteger un servidor.

Fotografía | www.flickr.com

0 comentarios

Delta Air Lines, una compañía norte americana de vuelos internacionales acaba de presentar una queja ante el Centro de Mediación y Arbitraje (WIPO) para hacerse con el nombre del dominio en disputa delta-tickets.com.

Delta Air Lines es propetaria de varios nombres de marcas registradas, así que uno de los argumentos clave de la demanda fue la posible confusión del usuario ante un nombre que nada tenía que ver con sus productos. Además, también han acusado al demandado por utilizar el nombre del dominio con malas intenciones.

El Demandado registró el nombre del dominio en disputa incorporando la marca DELTA sin ningún permiso del demandante, declaró falsamente estar autorizado para vender tickets de la compañía del demandante y solicitar contraseñas y tarjetas de crédito de pasajeros potenciales, cometiendo fraude a través del “phishing”, “pharming” y otras actividades fraudulentas que perjudican al público e Internet y al del demandante. - Abogados de Delta Air Lines (Traducción libre)

Ante tal acusación, el demandado no fue capaz de probar su inocencia, sin embargo, el demandante consiguió probar todo lo necesario, así que el jurado ha delacara la transferencia del nombre del dominio delta-tickets.com a la compañía que lleva su nombre.

Vía | www.domainnews.com
Fotografía | www.flickr.com

0 comentarios

Pregunta: ¿Qué son los certificados SSL?

Respuesta: A menudo nos encontramos términos que no comprendemos y no les damos la importancia que merecen, el caso de los certificados SSL es un buen ejemplo de estas situaciones. Teniendo en cuenta la poca seguridad que tenemos en Internet hoy en día, un servidor con certificado SSL se convierte en un requisito indispensable para el éxito de nuestra página Web.

Los usuarios cada vez saben más sobre los sistemas de seguridad de Internet y se fijan en el icono del prefijo “https” que debe aparecer en la barra del navegador cuando estamos haciendo trámites privados con datos personales a través de una página Web, especialmente si nos pide la numeración de nuestra tarjeta de crédito o nuestra cuenta corriente.

Si una página no tuviera certificado SSL, los usuarios la abandonarían antes de hacer cualquier trámite o compra, ya se trate de crear una cuenta nueva o simplemente suscribirse a su newsletter. Los tiempos en Internet están cambiando y los usuarios estamos más informados que antes, cualquier página que no ofrezca unas garantías mínimas de seguridad tiene todas las de perder.

Fotografía | www.flickr.com

0 comentarios

Seguro que si te interesa el sector de los servicios en Internet hace un tiempo que escuchas la palabra “phishing” por todas partes. Para los que aún no os habéis puesto a “googlear” os resumo lo básico de este fenómeno del crimen en Internet.

El objetivo principal del phishing es obtener datos personales de usuarios, como sus nombres, contraseñas, detalles bancarios, etc. ¿Y cómo lo hacen? Haciéndose pasar por una entidad de confianza en la comunicación electrónica.

Los lugares favoritos de este tipo de crímenes son muy variados, desde plataformas de redes sociales hasta Webs de subastas. Normalmente se utilizan los servicios de e-mail o la mensajería instantánea para dar con la información privada, aunque a menudo también engañan al usuario creando Webs falsas e implementando formularios en los que nos piden introducir nuestros datos para registrarnos o cualquier otra excusa.

Incluso utilizando la autentificación de un servidor con SSL resulta muy complicado detectar que una página Web es falsa. En resumen, el phising es un conjunto de técnicas de ingeniería social utilizadas para engañar a los usuarios, y suele sacar partido de la mala usabilidad de las tecnologías de seguridad Web actuales.

Fotografía | www.flickr.com

0 comentarios