Voy a publicar un pequeño estudio que he realizado sobre las empresas de la Región de Murcia y el estado de su seguridad en el ámbito Web, y sobre todo, con tecnología OSINT.
En el estudio he analizado 100 empresas de Murcia. En un principio me iba a enfocar en las 100 empresas con mayor facturación, información publicada en Internet.
Las principales empresas de la Región de Murcia son industrias alimenticias.
Para hacer más interesante el estudio he modificado este "top 100" para incluir empresas de renombre nacional, empresas públicas, ayuntamientos, empresas de informática y en concreto de seguridad informática, sectores importantes como transporte, sanidad, ocio regional, etc.
Los resultados del estudio no tienen porque tener una relación directa en el nivel de seguridad de las organizaciones analizadas.
Los indicadores que se han comparado son los siguientes:
1.- Acceso desde la red TOR.
2.- Uso obligatorio de HTTPS en el portal web inicial.
3.- Uso voluntario de HTTPS en el portal web inicial.
4.- Madurez de la implementación HTTPS.
5- Detección de User-Agent malicioso como NIKTO.
6.- Fingerprint de servicios web.
7.- Uso de cabeceras de seguridad:
7.1.-Content Security Policy
7.2.- X-Frame Options
7.3.- X-xss protection.7.4.- X-Content Type Options
El estudio se ha realizado sin emplear ninguna herramienta automática de obtención de información.
La información se ha realizado con la simple navegación por la web principal, sin buscar vulnerabilidades o cualquier otro intento de intrusión.
Para la calidad de la implantación https se ha usado el servicio público de la empresa QUALYS usando la opción de no registrar.
Para analizar las etiquetas relacionadas con la seguridad de la cabecera web y el fingerprint se ha usado el servicio público SecurityHeaders.io
Para analizar el acceso a la red Tor se ha usado un navegador Tor.
Para analizar la detección de user-agent malicioso se ha cambiado dicho parámetro en el navegador web.
El estudio no tiene ningún fin comercial, ni está patrocionado por ninguna empresa o marca.
El estudio sobre el tráfico HTTPS se ha enfocado en la página principal de la empresa. Muchas de las organizaciones analizadas emplean portales de compras, de acceso corporativo, etc y en muchos casos se usa la tecnología HTTPS.
El objetivo del informe es realizar de manera homogénea una aproximación, sin entrar en detalle.
Desde mi punto de vista, todo el tráfico debería comenzar con HTTPS, sea privado, autenticado, revele información confidencial o sea contenido estático. Todo el tráfico que sea susceptible a manipulación como es el HTTPdebería no usarse.
LOS DATOS
El primer indicador analizado es el tráfico que proviene de la red de anonimato TOR.
No todos los expertos en seguridad están a favor de bloquear este tráfico. Recordamos que el tráfico de la red TOR o Deep Web tiene como finalidad el anonimato. El anonimato puede ser legítimo si hablamos de visitas desde países con censura y poca liberta de expresión, pero sobre empresas comerciales suele ser usada para proporcionar anonimato a los atacantes.
Solo 9 de los 100 portales auditados bloquean el acceso desde la red TOR. Como he dicho esto puede ser una opción del administrador del sitio y no un indicador de seguridad, pero para mi es un indicio de la gestión del sitio. Las empresas que han detectado el tráfico desde la red TOR han sido aquellas que usan sistemas CDN y de protección en capa 7 como CloudFlare. Esta imágenes simplemente introducen un Captcha para obligar al usuario a validarse como humano y no como herramienta.
Ningún organismo público ni empresa tecnológica filtra el acceso desde la red TOR.
El siguiente indicador analizado ha sido la obligatoriedad de uso de tráfico HTTPS en el portal inicial.
Solo el 5% de las empresas analizadas redirigen al usuario al portal HTTPS.
Se comprueba si es posible el acceso introduciendo manualmente HTTPS en el dominio. Los resultados revelan un 25% de sitios que permiten el acceso "voluntario" por HTTPS a sus portales web.
En este apartado he encontrado una cantidad de fallos de seguridad dignos de mencionar. No sobre las empresas que ofrecen la posibilidad, sino sobre las que no. Todos sabemos que cuando empleamos HTTPS estamos accediendo a un puerto distinto que con HTTP, y en este sentido me he encontrado con accesos "privados" de todo tipo como Citrix, portales de administración, hosting compartidos con curiosos compañeros, etc.
Como curiosidad decir que solo 1 de las 10 empresas de base tecnológicas analizadas permite el tráfico HTTPS. Como siempre en casa de herrero cuchillo de palo.
De las 25 empresas que permiten el tráfico HTTPS no todas lo hacen bien. La mayoría lo hacen mal.
Sospecho que solo unas 4 o 5 usan realmente bien el tráfico HTTPS y el resto lo ofrecen simplemente porque será una opción por defecto en sus instalaciones o proveedor de servicio de hosting.
La calidad se mide desde A++, A+, A, B, C y así hacia adelante en el alfabeto.
El estudio revela que dada la mala configuración, el uso de HTTPS en estas empresas por debajo de C solo ocasiona gasto computacional en el servidor, porque no proporciona cifrado real en la comunicación cliente-servidor.
En la cuestión de implementación del tráfico HTTPS cabe destacar en positivo la implementación de Podemos Murcia consiguiendo una nota de A+ .
La tabla final de solo los que implementan la posibilidad de tráfico HTTPS en sus portales web sería así:
EMPRESA | WEB | SECTOR EMPRESARIAL | REQ SSL | SSL-score |
PODEMOS | https://rmurcia.podemos.info/ | POLITICA | NO | A+ |
CASA DE LA ERMITA | www.casadelaermita.com | BODEGAS | SI | A |
EL CARCHE | https://www.haciendadelcarche.com/es/inicio/ | BODEGAS | SI | A |
PC COMPONENTES | www.pccomponentes.com | TECNOLOGIA | NO | A |
HERO | www.hero.es | ALIMENTACION | NO | B |
VIRGEN DEL ALCAZAR | https://www.virgendelalcazar.com/ | SANIDAD | SI | B |
J GARCIA CARRION | https://garciacarrion.com/es | ALIMENTACION | SI | C |
UMU | http://www.um.es/ | EDUCACION | NO | C |
CC NUEVA CONDOMINA | http://www.ccnuevacondomina.com/ | OCIO | NO | C |
PSOE | http://psoe-regiondemurcia.com/web/index.asp | POLITICA | NO | C |
AYTO. MURCIA | www.murcia.es | PUBLICO | NO | C |
EMUASA | http://www.emuasa.es/inicio.asp | PUBLICO | NO | C |
AYTO. LORCA | www.cartagena.es | PUBLICO | NO | F |
MURCIASALUD | http://www.murciasalud.es/ | PUBLICO | NO | F |
CARM | http://www.carm.es/ | PUBLICO | NO | F |
MOLINA DE SEGURA | http://www.molinadesegura.es/ | PUBLICO | NO | F |
QUIRON MURCIA | http://www.quironsalud.es/hospital-murcia | SANIDAD | NO | F |
HEFAME | www.hefame.es | VARIOS | SI | F |
NOLY CONSERVAS | www.conservasnoly.com | ALIMENTACION | NO | T |
EL LIMONAR | http://ellimonarinternational.com/ | EDUCACION | NO | T |
AYTO. CARTAGENA | www.lorca.es | PUBLICO | NO | T |
CLINICA MUÑOZ | http://www.clinicamunoz.com/ | SANIDAD | NO | T |
SAN JOSE | http://www.viamedsanjose.com/ | SANIDAD | NO | T |
DISFRIMUR | http://www.disfrimur.com/es/ | TRANSPORTE | NO | T |
Otro de los indicadores que he creído merecedor de comentar es el bloqueo de User Agent maliciosos.
Cualquier sistemas de protección en capa 7 como un WAF que se haga merecedor de su nombre debe bloquear el uso de User Agents empleados por herramientas populares, como pueda ser NIKTO, W3af y similares.
El no cortar el tráfico desde User Agent NIKTO demuestra seguridad por casualidad, es decir, que las cosas van porque dios lo quiere... Este es el porcentaje de empresas que gestionan adecuadamente este aspecto:
NINGUNA de las empresas que venden seguridad o firewalls, o UMT´s o informática en general implementa esta medida de protección.
Solo un organismo público, el ayuntamiento de Molina de Segura ha cortado el tráfico empleando este User Agent.
En el indicador de Fingerprint si podemos establecer una relación directa con la seguridad. Para mi revelar la información de versión de sistema operativo, motor php/asp, módulos, CMS usado ya es un fallo. Puede ser que la seguridad por casualidad te lleve a tener un sistema actualizado o libre de exploits públicos, pero esto puede ser circunstancial y sin duda revela una falta de cariño o mimo hacia este aspecto.
La medida empleada ha sido 3 niveles. El más bajo revela la información a golpe de click. El nivel intermedio revela parcialmente la información. El nivel alto no revela información.
Dada la naturaleza del test no significa que tenga bien las medidas anti-fingerprint. Simplemente analiza ejemplos CATASTROFICOS a primera vista, de manual.
En este apartado las empresas tecnológicas se sitúan 50/50 entre nivel bajo y medio.
Respecto al uso de cabeceras de seguridad aquí es donde he encontrado que ninguna empresa cumple al 100% con la seguridad que podrían ofrecer con medidas MINIMAS.
NINGUNA empresa contaba con las 4 cabeceras configuradas de manera correcta.
NINGUNA empresa contaba con 2 de las cabeceras configuradas de manera correcta.
NINGUNA empresa tecnológica usaba 1 o más cabecera configurada de manera correcta. Este dato es revelador de la preocupación de las mismas.
MIS CONCLUSIONES
Me apena ver como estado general de las 100 organizaciones analizadas es un suspenso como una casa.
Empresas tecnológicas que venden sistemas y realizan desarrollos. Empresas que venden seguridad perimetral e incluso auditorias. Universidades públicas y privadas que forman a los futuros profesionales. No me cabe en la cabeza que este tipo de empresas no tengan estos indicadores BASICOS perfectos. Se pueden escapar algunos detalles, pero todas están muy muy suspensas.
Recuerdo que estos datos se han obtenido de manera legal con información pública en Internet. No se han realizado Port Scan, análisis de vulnerabilidades ni cualquier otra acción directa para medir la seguridad, esto es LO SUPERFICIAL, lo FÁCIL, lo que TODAS deberían tener aprobado.
El sector público se merece otra mención especial negativa ya que emplean recursos en comprar firewalls. Licitaciones en software de seguridad. Contratos con empresas de servicios mas su propia plantilla de funcionarios a sueldo. No es un estudio del Esquema Nacional de Seguridad, que tampoco lo pasan, pero me parece vergonzoso que servicios públicos no cuiden a sus ciudadanos con medidas GRATUITAS como estas. Repito lo de falta de mimo, no de presupuesto.
Espero que os haya gustado el análisis, a mi no, me cabrea. me cabrea mucho.
Es más, se que a muchas personas no le va a gustar ver el nombre de su empresa en la lista, pero espero que todos los "afectados" se lo tomen como deben, MEJORAR el estado de la seguridad de sus organizaciones. Siempre estoy dispuesto a ayudar a la gente, SIEMPRE, casi siempre gratis. Si necesitas ayuda pídela.
Si cualquier organización o persona responsable se ha sentido molesta con el informe puede contactar conmigo por las vías habituales.
EMPRESAS ANALIZADAS
AGE 2 | http://www.age2.es/ |
AGROMEDITERRANEA | www.agromediterranea.es/ |
AQUILINE | http://www.aquiline.es/web/ |
AYTO. ALCANTARILLA | http://www.alcantarilla.es/ |
AYTO. CARTAGENA | www.lorca.es |
AYTO. LORCA | www.cartagena.es |
AYTO. MAZARRON | http://www.mazarron.es |
AYTO. MURCIA | www.murcia.es |
BITEC | http://www.bitec.es/ |
BODEGAS GIL | http://gilfamily.es/ |
CAMPILLO PALMERA | http://www.campillopalmera.com/ |
CARM | http://www.carm.es/ |
CASA DE LA ERMITA | www.casadelaermita.com |
CASH EUROPA | www.casheuropa.com |
CC NUEVA CONDOMINA | http://www.ccnuevacondomina.com/ |
CC THADER | http://www.thader.net/ |
CIUDADANOS | http://murcia.ciudadanos-cs.org/ |
CLINICA MUÑOZ | http://www.clinicamunoz.com/ |
CONSERVAS EL RAAL | www.conservaselraal.com/ |
DISFRIMUR | http://www.disfrimur.com/es/ |
DROIDERS | http://www.droiders.com/es/ |
EL BATEL | http://auditorioelbatel.es/ |
EL CARCHE | https://www.haciendadelcarche.com/es/inicio/ |
EL LIMONAR | http://ellimonarinternational.com/ |
EL MOSCA | http://elmosca.es/ |
EL POZO | www.elpozo.com |
EL POZO MURCIA | http://www.elpozomurcia.com/ |
EMUASA | http://www.emuasa.es/inicio.asp |
ESTRELLA DE LEVANTE | www.estrelladelevante.es |
FINI GOLOSINAS | www.fini.es/es |
FIRMAMED | http://www.firmamed.es/ |
FRANCISCO ARAGON | http://www.franciscoaragon.com/ |
FRIPOZO | www.fripozo.com |
GARCIA ARANDA | www.garciaaranda.com/ |
GARSAN CEREALES Y HARINAS | www.cyhgarsan.com/ |
GOLDEN FOODS | www.goldenfoods.es |
GRUPO HUERTAS | http://www.grupohuertas.com/ |
GRUPO SADA | www.sadagrupo.com/ |
GUILLEN HERMANOS | http://guillenhermanos.com/ |
HARIMSA | http://www.harimsa.es/ |
HEFAME | www.hefame.es |
HERO | www.hero.es |
HIDA | www.hida.es |
HIMOINSA | www.himoinsa.com/ |
HOSPITAL BERNAL | http://hospitalbernal.com/ |
HOSPITAL DE MOLINA | http://www.hospitaldemolina.es/ |
HOSPITAL LA VEGA | http://www.hospital-lavega.es/ |
INFORGES | www.inforges.es |
ITETE | http://itete.info/ |
IU | http://www.iuverdes.es/ |
J GARCIA CARRION | https://garciacarrion.com/es |
JIMENEZ GODOY | http://www.jimenezgodoy.com/ |
JUAN JIMENEZ | www.juanjimenez.com/jisap/ |
JUVER | http://www.juver.com/ |
LAVIA | http://mgwinesgroup.com/bodegas-lavia/ |
LIMCAMAR | http://limcamar.es/ |
LINASA | www.linasa.es/ |
LINASA | http://www.linasa.es/ |
LIWE | www.liwe.net/ |
LORCA DEPORTIVA | http://www.lorcadeportiva.es/ |
LUZON | http://www.bodegasluzon.com/espanol/main.php |
MARVIMUNDO | http://www.marvimundo.com/ |
MESA DEL CASTILLO | http://www.mesadelcastillo.com/ |
MIVISA | www.mivisa.com |
MOLINA DE SEGURA | http://www.molinadesegura.es/ |
MORALES | http://www.frigorificosmorales.com/ |
MURCIASALUD | http://www.murciasalud.es/ |
NEW CASTELAR | http://www.newcastelar.com/ |
NOLY CONSERVAS | www.conservasnoly.com |
ONE TELECOM | http://www.onetelecom.es/ |
ORENES GRUPO | http://www.orenesgrupo.com/ |
PC COMPONENTES | www.pccomponentes.com |
PEÑALVER | penalver.com |
PLASTICOS ROMERO | http://www.plasticosromero.com/ |
PODEMOS | https://rmurcia.podemos.info/ |
POLLOS PUJANTE | www.pujante.com/ |
PP | http://www.ppmurcia.org/inicio.asp?ipag=1 |
PRAMAC | www.pramac.com |
PRIMAFRIO | http://primafrio.com/ |
PSOE | http://psoe-regiondemurcia.com/web/index.asp |
QUIRON MURCIA | http://www.quironsalud.es/hospital-murcia |
REAL MURCIA | http://www.realmurcia.es/rm/inicio/ |
REDYSER | http://www.redyser.com/ |
RICARDO FUENTES | http://www.ricardofuentes.com/ |
SAN ISIDRO | http://www.bsi.es/ |
SAN JOSE | http://www.viamedsanjose.com/ |
SOFKIA | http://www.sofkia.es/ |
SOLPLAST | http://www.solplast.com/ |
SOS | http://sos48.com/ |
TEATRO ROMEA | http://www.teatroromea.es/ |
TERRA NATURA | http://www.terranatura.com/ |
UCAM FC | http://www.ucamdeportes.com/ucamcf/ |
UCAM | http://www.ucam.edu/ |
UMU | http://www.um.es/ |
VIDAL GOLOSINAS | www.vidal.es/ |
VIRGEN DE LA CARIDAD | http://www.cmvcaridad.com/ |
VIRGEN DEL ALCAZAR | https://www.virgendelalcazar.com/ |
XTI | http://www.xti.es/ |
ZADIBE | http://www.zadibe.es/ |