Archive

ModSecurity

ModSecurity és un mòdul de seguretat per a servidors web que proporciona una capa de protecció contra atacs comuns i personalitzats. En aquest article, explicarem què és ModSecurity, com funciona, com atura els atacs i per què és convenient implantar-lo al nostre lloc web.

Què és ModSecurity?

ModSecurity és un mòdul de seguretat per a servidors web Apache, Nginx i IIS que actua com un tallafocs d’aplicacions web (WAF). Un WAF és un sistema que filtra i bloqueja el trànsit maliciós que intenta explotar vulnerabilitats a les aplicacions web. ModSecurity es pot configurar per detectar i prevenir atacs com injecció SQL, cross-site scripting (XSS), inclusió remota de fitxers (RFI), denegació de servei (DoS), entre d’altres.

Com funciona ModSecurity?

ModSecurity funciona mitjançant l’anàlisi de les peticions HTTP que arriben al servidor web i les respostes que s’hi generen. ModSecurity utilitza un conjunt de regles que defineixen els patrons de comportament anòmal o maliciós que es volen bloquejar. Aquestes regles es poden personalitzar segons les necessitats de cada lloc web, o es poden utilitzar regles predefinides com les de l’OWASP Core Rule Set (CRS), que cobreixen els atacs més comuns.

Quan ModSecurity detecta una petició o una resposta que coincideix amb alguna de les regles, podeu realitzar diferents accions, com:

– Permetre el pas de la petició o resposta sense modificar-la.
– Denegar el pas de la petició o la resposta i tornar un codi d’error al client.
– Redirigir la petició o la resposta a una altra URL.
– Modificar la petició o la resposta per eliminar o afegir algun element.
– Registrar l’esdeveniment en un fitxer de log o en una base de dades.

Com atura ModSecurity els atacs?

ModSecurity atura els atacs mitjançant el bloqueig de les peticions o les respostes que contenen elements sospitosos o malintencionats. Per exemple, si una petició conté una cadena com a ‘OR 1=1’, que és típica d’una injecció SQL, ModSecurity pot bloquejar-la i tornar un codi d’error 403 al client, evitant que l’atac arribi a la base de dades. D’aquesta manera, ModSecurity protegeix el lloc web de possibles danys o robatoris d’informació.

Per què implantar ModSecurity?

Implantar ModSecurity té diversos avantatges per a la seguretat i el rendiment del nostre lloc web, com ara:

– Augmenta la protecció contra atacs coneguts i desconeguts, ja que ModSecurity es pot adaptar a les noves amenaces mitjançant l’actualització o la creació de noves regles.
– Redueix el risc de patir bretxes de seguretat, fuites de dades o pèrdua de reputació, ja que ModSecurity evita que els atacants accedeixin a informació sensible o comprometin el funcionament del lloc web.
– Millora el rendiment del servidor web, ja que ModSecurity redueix la càrrega de treball en filtrar el trànsit maliciós abans que arribi a les aplicacions web.
– Facilita el compliment de normatives i estàndards de seguretat, com el PCI DSS, el GDPR o l’ISO 27001, ja que ModSecurity ajuda a mantenir un nivell adequat de seguretat a les aplicacions web.

En conclusió, ModSecurity és un mòdul de seguretat per a servidors web que ofereix una capa addicional de defensa contra els atacs a les aplicacions web. El seu funcionament es basa en l’anàlisi i el filtratge del trànsit HTTP mitjançant regles que es poden personalitzar segons les necessitats de cada lloc web. La seva implantació suposa una millora en la seguretat i el rendiment del lloc web, així com una facilitat més gran per complir amb les normatives i els estàndards vigents.

ISPACTIVO te la instal·lació de ModSecurity a tots els seus servidors, per tal d’elevar la protecció dels nostres clients.

 

Algú està enviant correu-vos usant el meu domini

Mail Spoofing

El Mail Spoofing és quan un usuari rep un correu del seu propi domini, semblant com si ella/ell fossin el propi emissor.

En la majoria dels casos aquests enviaments són externs, és a dir, s’usa com a remitent del missatge l’adreça de correu del propi usuari o un altre del seu mateix domini (existent o no), tanmateix, això no significa que el correu s’hagi generat en el seu servidor o que s’hagi violat la seguretat del seu correu, simplement s’utilitza algun tipus de programa per a simular que el remitent pertany al mateix domini que el destinatari i així passar alguns filtres comuns de correu entrant.

Si consideres que el teu compte de correu ha estat compromesa, si us plau canvia la contrasenya per una més forta i si contínues rebent correu-vos enviats en el teu nom que no has enviat tu, si us plau còpia els encapçalats d’un d’aquests correus en un Tiquet per al nostre equip de suport tècnic. Nosaltres podrem verificar i assegurar-nos que aquest correu no provingui de cap dels teus comptes i prendre les mesures necessàries.

Amb els encapçalats que enviïs serà suficient per a identificar el servidor responsable de l’enviament de correus no autoritzats,

Si has rebut un correu similar a l’exemple, tranquil el teu dispositiu no ha estat “hackeado”. Es tracta d’un intent d’estafa, que es basa en l’enginyera social per a intentar enganyar la víctima i que realitzi un pagament econòmic sota el pretext de no difondre suposat material compromès seu.

Com es realitzen aquestes campanyes?

Es tracta d’una modalitat coneguda com Spoofing que consisteix a suplantar el servidor i fer semblar que el domini és d’una direcció de confiança. Per a aconseguir-ho els cibercriminales es “connecten amb servidors de correu, que permeten reexpedir missatges utilitzant un àlies diferent, que en aquest cas seria el compte de la persona”.

El Protocol Simple de Transferència de Correu (SMTP) no va ser dissenyat per a autenticar als remitents ni verificar la integritat dels missatges rebuts. Per tant, és fàcil alterar o suplantar l’origen d’un correu electrònic”.

Exemple d’email enviat

A continuació adjuntem un exemple dels quals solen enviar els atacants, indicant que ens han hackeado i ens sol·liciten el pagament mitjançant bitcóin per a no difondre aquest contingut suposadament sensible.

 

Spoofing mail

Recomanacions per a evitar ser víctima d’aquests fraus:

No obri correus d’usuaris desconeguts o que no hagis sol·licitat, eliminar-los directament.
No contesti en cap cas a aquests correus, ni enviï informació personal.
Tingui sempre actualitzat el sistema operatiu i l’antivirus.
Utilitzi contrasenyes segures i diferents per a serveis diferents. Utilitzar un gestor de contrasenyes li facilitarà aquesta tasca.
Utilitzar el doble factor d’autenticació sempre que estigui disponible en el servei utilitzat.

Certificat SSL gratuït

Certificat SSL gratuït i instal·lat per defecte en tots els plans de hosting.

L’encriptació SSL s’instal·la en un clic des del seu panell de control i en tots els allotjaments web. No cal tenir coneixements específics per configurar i renovar els certificats cada tres mesos, és un procés fàcil i ràpid des del seu panell de control.

Let ‘s Encrypt és un projecte “codi obert” recolzat per múltiples empreses, i reconegut pels navegadors web més populars. ISPACTIVO posa a disposició dels seus clients de manera senzilla i automatitzada amb l’únic objectiu d’afavorir les connexions segures a internet. Ja són més de 1400 certificats Let ‘s Encrypt per als llocs web dels nostres clients.

Intercanvis assegurances amb el protocol HTTPS

A l’establir una connexió xifrada mitjançant un certificat X509 (RSA de 2048 bits o més) i la norma TLS entre els ordinadors dels seus visitants i el servidor en el qual estigui allotjat el lloc web, el protocol HTTPS permet reduir el risc que les dades personals o bancàries, per exemple, siguin interceptats. Un cadenat a la barra de navegació indica que el lloc web és segur i ha estat autenticat per una autoritat de certificació reconeguda.

En ISPACTIVO ens enorgulleix poder oferir a tots els nostres clients certificats SSL gratis perquè puguin instal·lar-los en els seus llocs web, un procés que per cert només pren uns segons i es pot realitzar ràpidament, de manera que la disponibilitat d’un SSL no és cap problema per a els nostres clients. Avui dia és imprescindible comptar amb un certificat SSL al nostre lloc, ara qualsevol pàgina que desitgi posicionar bé en un cercador com Google (i per tant tenir més visites) ha de fer servir un certificat SSL.

Redirect Hack – readreçament de WordPress a un altre lloc

Recentment notem que molts llocs web de WordPress són redirigits a dominis maliciosos. Els atacants aconsegueixen això per diversos mitjans i fonts d’infecció.
Tals atacs de redreçament piratejats de WordPress són bastant comuns quan el malware redirigeix als visitants d’un lloc web en particular a llocs web no desitjats, pàgines de phishing o dominis controlats per pirates informàtics.

Per què els llocs de WordPress són Hackejats?

Hi ha moltes raons per les quals els llocs de WordPress són piratejats, aquests són els factors més comuns.

1. Contrasenyes insegures

Aquesta és una de les causes més freqüents de pirateria informàtica. La contrasenya més utilitzada en el món és «password». Les contrasenyes segures són necessàries no sols per al seu compte d’administrador de WordPress, sinó per a tots els seus usuaris i tots els aspectes del seu lloc, incloent-hi FTP i hosting.

2. Programari Obsolet.

Els plugins i temes, així com el mateix WordPress, estan subjectes a actualitzacions que han d’aplicar-se al seu lloc. Si no ho fa el seu lloc serà vulnerable.

3. Codi Insegur

Els plugins i temes que no són de fonts acreditades poden introduir vulnerabilitats en el seu lloc. Si necessita temes o plugins de WordPress gratuïts, instal·li’ls des del directori de temes oficial de WordPress.
Quan compra temes i plugins, asseguri’s de comprovar la reputació del proveïdor i obtenir recomanacions de persones i fonts en les quals confia. Mai instal·li plugins de poca o dubtosa reputació.

Eliminació del Malware

El primer pas per a eliminar el malware és trobar-ho. Els atacants podrien haver utilitzat diverses àrees per a infectar, i identificar-les és la meitat del treball realitzat per a eliminar-lo. Per a trobar el malware, pot usar un escàner de malware o simplement fer-ho manualment.

1. Usi un escàner de malware

Un escàner de malware, sens dubte, és un mètode més optimitzat i fàcil de detecció de pirateria. De fet, l’escàner de malware de Astra també permet l’eliminació de malware amb un sol clic en els resultats de l’anàlisi.
Però, si no desitja que l’escàner l’ajudi, també pot prendre el llarg camí de la detecció manual de malware. Així és com pots fer això.

2. Consulti amb eines de diagnòstic

A més, la pàgina de diagnòstic de Google és una eina que pot ajudar-ho a determinar exactament quina part del seu lloc web conté la infecció. També indicarà la quantitat d’arxius / directoris que estan infectats.

3. Escanejar arxius principals

Els arxius principals de WordPress determinen l’aparença i les funcionalitats del programari de WordPress. Identificar els canvis en els arxius principals també l’ajudarà a identificar l’atac. Qualsevol canvi desconegut en els arxius pot indicar l’origen de l’atac. Algunes de les possibles àrees d’infecció són index.php, index.html, arxius de tema, etc.
Estratègies de protecció

1. Bloquegi el seu WordPress Admin

Bloquejar la seva àrea i login de WordPress admin és una bona manera d’enfortir la seva seguretat. Dues bones maneres de fer-ho és primer canviant l’URL d’inici de sessió predeterminada de wpadmin i limitant els intents d’inici de sessió.

2. Limitar els intents d’Inici de Sessió

Posar un límit en el seu lloc també pot ser molt eficaç. El plugin gratuït de Cerber Limit Login Attempts és una excel·lent manera de configurar fàcilment , els intents d’inici de sessió, les durades de bloqueig i les llistes blanques i negres d’IP.

3. Canviar la seva URL d’Accés de WordPress

Per defecte, l’URL d’inici de sessió del seu lloc WordPress és domain.com/wp-admin. Un dels problemes amb això és que tots els bots, hackers i seqüències de comando que existeixen també ho saben. En canviar l’URL, pot fer-se menys d’un objectiu i protegir-se millor dels atacs de força bruta.

Utilitzi Plugins de Seguretat WordPress.

Existeixen nombroses maneres de reforçar la seguretat WordPress. L’ús de contrasenyes intel·ligents, mantenir actualitzats el nucli i plugins, i triar un hosting segur per al seu WordPress, són només unes de tantes coses que mantindran al seu lloc WordPress actiu i funcionant amb seguretat.

Les principals amenaces a ciberseguretat 2020

Durant aquest últim e insòlit 2020, els atacs més freqüents han estat els següents:

1º Ransomware; Mitjançant el qual es pretén xifrar la informació per demanar després un rescat. El mitjà més freqüent ha estat el phishing, suplantant la identitat de diferents institucions com; OMS, Ministeri de treball, Servei Públic d’Ocupació (..)

L’última versió és que primer exfiltran la informació abans de xifrar demanant un rescat a l’empresa amenaçant amb publicar-la sinó el realitzen.

Robatori de credencials; La manera de procedir també ha estat el phishing, així obtenen les credencials dels usuaris i accedeixen als seus comptes bancaris i serveis en el núvol. Per exemple, el robatori de credencials de Microsoft 365 els permet configurar paraules clau que es reenvien a un compte de correu amb la finalitat de preparar un frau a l’CEO.

Atacs a escriptoris remots; A causa de la situació actual de pandèmia i la necessitat de l’teletreball, moltes empreses van publicar els escriptoris remots dels empleats a Internet, sense una seguretat addicional com pot ser una VPN.

Fraus a el CEO; la situació de teletreball ha fet que hi hagi un major aïllament de el personal, amb la qual cosa han augmentat els casos de suplantació d’el director general.

Implantar política d’Accés Remot Segur

Accés Remot Segur

  • El Centre Criptológico Nacional publica un “Abstract” amb mesures de seguretat per a aquesta mena d’accessos.
  • El document presenta dues solucions en funció de les capacitats de l’organització que ha d’implementar-lo: solució basada en el núvol o en sistemes locals.

La implementació d’una solució d’accés remot és un repte des del punt de vista de la seguretat i la gestió per a qualsevol organització. Així ho reconeix el “Abstract” publicat per la Capacitat de Resposta a Incidents del Centre Criptológico Nacional, CCN-*CERT, que porta per títol: “Mesures de seguretat per a Accés Remot”.

El document recull dues solucions per a la implementació d’un sistema d’accés remot segur en funció de les capacitats de l’organització. D’un costat, la solució basada en el núvol que permet un desplegament ràpid d’una solució d’accés remot segur, encara que no es disposi d’una gran capacitat dins de l’Organització.

D’una altra, una solució basada en sistemes locals, on-*premise, en la qual s’estenen els límits de l’organització més enllà de les seves instal·lacions. En aquest cas, es despleguen portàtils configurats i bastionados perquè puguin utilitzar Internet com a mitjà d’accés per a accedir de manera segura als serveis corporatius.

Correus electrònics, sales de reunions virtuals, connexions amb proveïdors o procediments d’actuació de les persones o equips amb accés remot són alguns dels punts recollits en el Abstract publicat pel CCN-CERT.

Finalment, el document aporta una sèrie de recomanacions genèriques per a l’accés remot i dos annexos amb tots els detalls de cadascuna de les solucions plantejades.

Font: CCN-*CERT (10/03/2020)

Mesures de seguretat per a Accés Remot