lunes, 21 de marzo de 2016

ESTUDIO SOBRE EL ESTADO DE LA SEGURIDAD DE 100 EMPRESAS y ORG. PUBLICOS DE LA REGION MURCIA

Estimados amigos de Inseguros !!!

Voy a publicar un pequeño estudio que he realizado sobre las empresas de la Región de Murcia y el estado de su seguridad en el ámbito Web, y sobre todo, con tecnología OSINT.



En el estudio he analizado 100 empresas de Murcia. En un principio me iba a enfocar en las 100 empresas con mayor facturación, información publicada en Internet.


Las principales empresas de la Región de Murcia son industrias alimenticias.
Para hacer más interesante el estudio he modificado este "top 100" para incluir empresas de renombre nacional, empresas públicas, ayuntamientos, empresas de informática y en concreto de seguridad informática, sectores importantes como transporte, sanidad, ocio regional, etc.

Los resultados del estudio no tienen porque tener una relación directa en el nivel de seguridad de las organizaciones analizadas.

Los indicadores que se han comparado son los siguientes:

1.- Acceso desde la red TOR.
2.- Uso obligatorio de HTTPS en el portal web inicial.
3.- Uso voluntario de HTTPS en el portal web inicial.
4.- Madurez de la implementación HTTPS.
5- Detección de User-Agent malicioso como NIKTO.
6.- Fingerprint de servicios web.
7.- Uso de cabeceras de seguridad:
7.1.-Content Security Policy
7.2.- X-Frame Options
7.3.- X-xss protection.7.4.- X-Content Type Options

El estudio se ha realizado sin emplear ninguna herramienta automática de obtención de información.
La información se ha realizado con la simple navegación por la web principal, sin buscar vulnerabilidades o cualquier otro intento de intrusión.

Para la calidad de la implantación https se ha usado el servicio público de la empresa QUALYS usando la opción de no registrar.

Para analizar las etiquetas relacionadas con la seguridad de la cabecera web y el fingerprint se ha usado el servicio público SecurityHeaders.io

Para analizar el acceso a la red Tor se ha usado un navegador Tor.

Para analizar la detección de user-agent malicioso se ha cambiado dicho parámetro en el navegador web.

El estudio no tiene ningún fin comercial, ni está patrocionado por ninguna empresa o marca.

El estudio sobre el tráfico HTTPS se ha enfocado en la página principal de la empresa. Muchas de las organizaciones analizadas emplean portales de compras, de acceso corporativo, etc y en muchos casos se usa la tecnología HTTPS.

El objetivo del informe es realizar de manera homogénea una aproximación, sin entrar en detalle.

Desde mi punto de vista, todo el tráfico debería comenzar con HTTPS, sea privado, autenticado, revele información confidencial o sea contenido estático. Todo el tráfico que sea susceptible a manipulación como es el HTTPdebería no usarse.

LOS DATOS

El primer indicador analizado es el tráfico que proviene de la red de anonimato TOR.

No todos los expertos en seguridad están a favor de bloquear este tráfico. Recordamos que el tráfico de la red TOR o Deep Web tiene como finalidad el anonimato. El anonimato puede ser legítimo si hablamos de visitas desde países con censura y poca liberta de expresión, pero sobre empresas comerciales suele ser usada para proporcionar anonimato a los atacantes.


Solo 9 de los 100 portales auditados bloquean el acceso desde la red TOR. Como he dicho esto puede ser una opción del administrador del sitio y no un indicador de seguridad, pero para mi es un indicio de la gestión del sitio. Las empresas que han detectado el tráfico desde la red TOR han sido aquellas que usan sistemas CDN y de protección en capa 7 como CloudFlare. Esta imágenes simplemente introducen un Captcha para obligar al usuario a validarse como humano y no como herramienta.

Ningún organismo público ni empresa tecnológica filtra el acceso desde la red TOR.

El siguiente indicador analizado ha sido la obligatoriedad de uso de tráfico HTTPS en el portal inicial.


Solo el 5% de las empresas analizadas redirigen al usuario al portal HTTPS.

Se comprueba si es posible el acceso introduciendo manualmente HTTPS en el dominio. Los resultados revelan un 25% de sitios que permiten el acceso "voluntario" por HTTPS a sus portales web.


En este apartado he encontrado una cantidad de fallos de seguridad dignos de mencionar. No sobre las empresas que ofrecen la posibilidad, sino sobre las que no. Todos sabemos que cuando empleamos HTTPS estamos accediendo a un puerto distinto que con HTTP, y en este sentido me he encontrado con accesos "privados" de todo tipo como Citrix, portales de administración, hosting compartidos con curiosos compañeros, etc.

Como curiosidad decir que solo 1 de las 10 empresas de base tecnológicas analizadas permite el tráfico HTTPS. Como siempre en casa de herrero cuchillo de palo.

De las 25 empresas que permiten el tráfico HTTPS no todas lo hacen bien. La mayoría lo hacen mal.

Sospecho que solo unas 4 o 5 usan realmente bien el tráfico HTTPS y el resto lo ofrecen simplemente porque será una opción por defecto en sus instalaciones o proveedor de servicio de hosting.


La calidad se mide desde A++, A+, A, B, C y así hacia adelante en el alfabeto.

El estudio revela que dada la mala configuración, el uso de HTTPS en estas empresas por debajo de C solo ocasiona gasto computacional en el servidor, porque no proporciona cifrado real en la comunicación cliente-servidor.

En la cuestión de implementación del tráfico HTTPS cabe destacar en positivo la implementación de Podemos Murcia consiguiendo una nota de A+ .



La tabla final de solo los que implementan la posibilidad de tráfico HTTPS en sus portales web sería así:

EMPRESA WEB SECTOR EMPRESARIAL REQ SSL SSL-score
PODEMOS https://rmurcia.podemos.info/ POLITICA NO A+
CASA DE LA ERMITA www.casadelaermita.com BODEGAS SI A
EL CARCHE https://www.haciendadelcarche.com/es/inicio/ BODEGAS SI A
PC COMPONENTES www.pccomponentes.com TECNOLOGIA NO A
HERO www.hero.es ALIMENTACION NO B
VIRGEN DEL ALCAZAR https://www.virgendelalcazar.com/ SANIDAD SI B
J GARCIA CARRION https://garciacarrion.com/es ALIMENTACION SI C
UMU http://www.um.es/ EDUCACION NO  C
CC NUEVA CONDOMINA http://www.ccnuevacondomina.com/ OCIO NO C
PSOE http://psoe-regiondemurcia.com/web/index.asp POLITICA NO C
AYTO. MURCIA www.murcia.es PUBLICO NO C
EMUASA http://www.emuasa.es/inicio.asp PUBLICO NO C
AYTO. LORCA www.cartagena.es PUBLICO NO F
MURCIASALUD http://www.murciasalud.es/ PUBLICO NO F
CARM http://www.carm.es/ PUBLICO NO F
MOLINA DE SEGURA http://www.molinadesegura.es/ PUBLICO NO  F
QUIRON MURCIA http://www.quironsalud.es/hospital-murcia SANIDAD NO F
HEFAME www.hefame.es VARIOS SI F
NOLY CONSERVAS www.conservasnoly.com ALIMENTACION NO T
EL LIMONAR http://ellimonarinternational.com/ EDUCACION NO T
AYTO. CARTAGENA www.lorca.es PUBLICO NO T
CLINICA MUÑOZ http://www.clinicamunoz.com/ SANIDAD NO  T
SAN JOSE http://www.viamedsanjose.com/ SANIDAD NO T
DISFRIMUR http://www.disfrimur.com/es/ TRANSPORTE NO T

Otro de los indicadores que he creído merecedor de comentar es el bloqueo de User Agent maliciosos. 

Cualquier sistemas de protección en capa 7 como un WAF que se haga merecedor de su nombre debe bloquear el uso de User Agents empleados por herramientas populares, como pueda ser NIKTO, W3af y similares. 

El no cortar el tráfico desde User Agent NIKTO demuestra seguridad por casualidad, es decir, que las cosas van porque dios lo quiere... Este es el porcentaje de empresas que gestionan adecuadamente este aspecto:


NINGUNA de las empresas que venden seguridad o firewalls, o UMT´s o informática en general implementa esta medida de protección. 

Solo un organismo público, el ayuntamiento de Molina de Segura ha cortado el tráfico empleando este User Agent.

En el indicador de Fingerprint si podemos establecer una relación directa con la seguridad. Para mi revelar la información de versión de sistema operativo, motor php/asp, módulos, CMS usado ya es un fallo. Puede ser que la seguridad por casualidad te lleve a tener un sistema actualizado o libre de exploits públicos, pero esto puede ser circunstancial y sin duda revela una falta de cariño o mimo hacia este aspecto.

La medida empleada ha sido 3 niveles. El más bajo revela la información a golpe de click. El nivel intermedio revela parcialmente la información. El nivel alto no revela información.

Dada la naturaleza del test no significa que tenga bien las medidas anti-fingerprint. Simplemente analiza ejemplos CATASTROFICOS a primera vista, de manual.

En este apartado las empresas tecnológicas se sitúan 50/50 entre nivel bajo y medio.

Respecto al uso de cabeceras de seguridad aquí es donde he encontrado que ninguna empresa cumple al 100% con la seguridad que podrían ofrecer con medidas MINIMAS.

NINGUNA empresa contaba con las 4 cabeceras configuradas de manera correcta.

NINGUNA empresa contaba con 2 de las cabeceras configuradas de manera correcta.

NINGUNA empresa tecnológica usaba 1 o más cabecera configurada de manera correcta. Este dato es revelador de la preocupación de las mismas.









MIS CONCLUSIONES

Me apena ver como estado general de las 100 organizaciones analizadas es un suspenso como una casa.

Empresas tecnológicas que venden sistemas y realizan desarrollos. Empresas que venden seguridad perimetral e incluso auditorias. Universidades públicas y privadas que forman a los futuros profesionales. No me cabe en la cabeza que este tipo de empresas no tengan estos indicadores BASICOS perfectos. Se pueden escapar algunos detalles, pero todas están muy muy suspensas.

Recuerdo que estos datos se han obtenido de manera legal con información pública en Internet. No se han realizado Port Scan, análisis de vulnerabilidades ni cualquier otra acción directa para medir la seguridad, esto es LO SUPERFICIAL, lo FÁCIL, lo que TODAS deberían tener aprobado.

El sector público se merece otra mención especial negativa ya que emplean recursos en comprar firewalls. Licitaciones en software de seguridad. Contratos con empresas de servicios mas su propia plantilla de funcionarios a sueldo. No es un estudio del Esquema Nacional de Seguridad, que tampoco lo pasan, pero me parece vergonzoso que servicios públicos no cuiden a sus ciudadanos con medidas GRATUITAS como estas. Repito lo de falta de mimo, no de presupuesto.

Espero que os haya gustado el análisis, a mi no, me cabrea. me cabrea mucho.

Es más, se que a muchas personas no le va a gustar ver el nombre de su empresa en la lista, pero espero que todos los "afectados" se lo tomen como deben, MEJORAR el estado de la seguridad de sus organizaciones. Siempre estoy dispuesto a ayudar a la gente, SIEMPRE, casi siempre gratis. Si necesitas ayuda pídela.

Si cualquier organización o persona responsable se ha sentido molesta con el informe puede contactar conmigo por las vías habituales.

EMPRESAS ANALIZADAS

AGE 2 http://www.age2.es/
AGROMEDITERRANEA www.agromediterranea.es/
AQUILINE http://www.aquiline.es/web/
AYTO. ALCANTARILLA http://www.alcantarilla.es/
AYTO. CARTAGENA www.lorca.es
AYTO. LORCA www.cartagena.es
AYTO. MAZARRON http://www.mazarron.es
AYTO. MURCIA www.murcia.es
BITEC http://www.bitec.es/
BODEGAS GIL http://gilfamily.es/
CAMPILLO PALMERA http://www.campillopalmera.com/
CARM http://www.carm.es/
CASA DE LA ERMITA www.casadelaermita.com
CASH EUROPA www.casheuropa.com
CC NUEVA CONDOMINA http://www.ccnuevacondomina.com/
CC THADER http://www.thader.net/
CIUDADANOS http://murcia.ciudadanos-cs.org/
CLINICA MUÑOZ http://www.clinicamunoz.com/
CONSERVAS EL RAAL www.conservaselraal.com/
DISFRIMUR http://www.disfrimur.com/es/
DROIDERS http://www.droiders.com/es/
EL BATEL http://auditorioelbatel.es/
EL CARCHE https://www.haciendadelcarche.com/es/inicio/
EL LIMONAR http://ellimonarinternational.com/
EL MOSCA http://elmosca.es/
EL POZO www.elpozo.com
EL POZO MURCIA http://www.elpozomurcia.com/
EMUASA http://www.emuasa.es/inicio.asp
ESTRELLA DE LEVANTE www.estrelladelevante.es
FINI GOLOSINAS www.fini.es/es
FIRMAMED http://www.firmamed.es/
FRANCISCO ARAGON http://www.franciscoaragon.com/
FRIPOZO www.fripozo.com
GARCIA ARANDA www.garciaaranda.com/
GARSAN CEREALES Y HARINAS www.cyhgarsan.com/
GOLDEN FOODS www.goldenfoods.es
GRUPO HUERTAS http://www.grupohuertas.com/
GRUPO SADA www.sadagrupo.com/
GUILLEN HERMANOS http://guillenhermanos.com/
HARIMSA http://www.harimsa.es/
HEFAME www.hefame.es
HERO www.hero.es
HIDA www.hida.es
HIMOINSA www.himoinsa.com/
HOSPITAL BERNAL http://hospitalbernal.com/
HOSPITAL DE MOLINA http://www.hospitaldemolina.es/
HOSPITAL LA VEGA http://www.hospital-lavega.es/
INFORGES www.inforges.es
ITETE http://itete.info/
IU http://www.iuverdes.es/
J GARCIA CARRION https://garciacarrion.com/es
JIMENEZ GODOY http://www.jimenezgodoy.com/
JUAN JIMENEZ www.juanjimenez.com/jisap/
JUVER http://www.juver.com/
LAVIA http://mgwinesgroup.com/bodegas-lavia/
LIMCAMAR http://limcamar.es/
LINASA www.linasa.es/
LINASA http://www.linasa.es/
LIWE www.liwe.net/
LORCA DEPORTIVA http://www.lorcadeportiva.es/
LUZON http://www.bodegasluzon.com/espanol/main.php
MARVIMUNDO http://www.marvimundo.com/
MESA DEL CASTILLO http://www.mesadelcastillo.com/
MIVISA www.mivisa.com
MOLINA DE SEGURA http://www.molinadesegura.es/
MORALES http://www.frigorificosmorales.com/
MURCIASALUD http://www.murciasalud.es/
NEW CASTELAR http://www.newcastelar.com/
NOLY CONSERVAS www.conservasnoly.com
ONE TELECOM http://www.onetelecom.es/
ORENES GRUPO http://www.orenesgrupo.com/
PC COMPONENTES www.pccomponentes.com
PEÑALVER penalver.com
PLASTICOS ROMERO http://www.plasticosromero.com/
PODEMOS https://rmurcia.podemos.info/
POLLOS PUJANTE www.pujante.com/
PP http://www.ppmurcia.org/inicio.asp?ipag=1
PRAMAC www.pramac.com
PRIMAFRIO http://primafrio.com/
PSOE http://psoe-regiondemurcia.com/web/index.asp
QUIRON MURCIA http://www.quironsalud.es/hospital-murcia
REAL MURCIA http://www.realmurcia.es/rm/inicio/
REDYSER http://www.redyser.com/
RICARDO FUENTES http://www.ricardofuentes.com/
SAN ISIDRO http://www.bsi.es/
SAN JOSE http://www.viamedsanjose.com/
SOFKIA http://www.sofkia.es/
SOLPLAST http://www.solplast.com/
SOS http://sos48.com/
TEATRO ROMEA http://www.teatroromea.es/
TERRA NATURA http://www.terranatura.com/
UCAM FC http://www.ucamdeportes.com/ucamcf/
UCAM  http://www.ucam.edu/
UMU http://www.um.es/
VIDAL GOLOSINAS www.vidal.es/
VIRGEN DE LA CARIDAD http://www.cmvcaridad.com/
VIRGEN DEL ALCAZAR https://www.virgendelalcazar.com/
XTI http://www.xti.es/
ZADIBE http://www.zadibe.es/