Desenmascarame!

(Desenmascarame is the Spanish verb form for unmaskme in English)

servicio cuyo objetivo es:

concienciar sobre la seguridad web desenmascarando la tecnologia e infraestructura tras la que se sostienen los sitios web. (ENGLISH INTRODUCTION)


"Web owners, like homeowners and businesses, should be the first line of protection for their own property".

The Underwhelming Threat of Cyberterrorism

"Web applications remain the proverbial punching bag of the Internet".

Verizon DBIR 2014

"I've seen estimates that over 99 percent of all Internet attacks could be prevented if the systems administrators would just use the most current versions of their system software."

Bruce Schneier on «Secrets & Lies»

"Webmasters need to ensure that their websites are running good code that isn't open to exploitation." Ian Fette «Product Manager with Google's Security Team»

desenmascara.me


Disclaimer: (los datos mostrados por este servicio han de tratarse única y exclusivamente a modo informativo, no se trata ni mucho menos de una conlusión final, y no me hago responsable de la veracidad de la información mostrada, ni del uso que se pueda hacer con dicha información).

Ejemplos de informe



Preguntas Frecuentes



¿Por qué desenmascarame?

Para concienciar y ayudar de una forma sencilla en la seguridad de los sitios web. Y como herramienta de análisis en caso de que algo le haya ocurrido a un sitio web.

.

Como herramienta para verificar si un sitio web es oficial no oficial o falso.


¿A quién está dirigido?

Este servicio web está dirigido a todo el mundo, pero principalmente a personas sin mucho conocimiento sobre seguridad web y quieran conocer de una forma sencilla el estado y tecnología de cualquier sitio web. Si no sabes que son las cabeceras HTTP, cual es la última versión disponible de nginx, para que sirve un WAF o que es una CDN, no te preocupes. Nosotros nos ocupamos de revisar todo esto por tí en tu sitio web y te informamos sobre el estado, arquitectura y configuración de tu sitio.


What's badware?

StopBadware has a great comprehensive descriptions of Badware. In this context when a web site has badware it does means that it is helping with the distribution of malicious code either by purpose of withoug being aware of that fact because it has been compromised. Plenty of legitimate websites are being compromised and turned to malicious websites hosting badware without their owner knowledge. In the previous resource you can find more detailed info about its causes and consecuences.


¿Por qué es importante la Seguridad web?

Disponer de un sitio web es simple, asegurarlo no. Sí eres dueño o responsable de un sitio web, tienes que preocuparte de su Seguridad para evitar problemas principalmente entre tus potenciales usuarios/clientes y por supuesto por tí o la compañía que corresponda. Problemas como infectarse con malware por el simple hecho de visitar un sitio web comprometido, que puedan acceder a información sensible, o simplemente que no se pueda acceder al sitio por haber sido incluido en alguna de las numerosas listas negras existentes. Así está el panorama:


¿Solamente vale para concienciar sobre la seguridad de los sitios web?

NO. Muestra información de la tecnología sobre la que está construido y sirviéndose un sitio web y, si además un sitio web ha sido infectado, el servicio intentará mostrar cual es la causa de la infección.


¿Qué significa el valor de concienciación?

Es un valor calculado a partir de los datos analizados, mostrados con etiqueta azul, en el sitio web. Los datos con etiqueta naranja habrá que vigilarlos con más atención esperando que no muestren nada (estos no se tienen en cuenta para el cálculo del valor de concienciación). Los datos mostrados con etiqueta gris son meramente informativos del propio sitio web y el análisis realizado. De cualquier forma al final de cada análisis hay una leyenda con esta información.


Pero, ¿es seguro mi sitio si muestra mucho valor de concienciación?

El objetivo de desenmascara.me no es dar respuesta a dicha pregunta. Su objetivo es mostrar si los propietarios de un sitio web están concienciados con la seguridad, mostrando información como el nivel de aseguramiento y política de actualización que tiene un sitio web. Obviamente este valor es unicamente en base al software, arquitectura e infraestructura. Las aplicaciones web son software complejo que requerirán de una auditoría de seguridad para poder dar respuesta a esta pregunta. No vale como auditoría web


¿Como va la escala de puntuación?

Este puede ser un valor muy subjetivo, pero se ha optado por dar más valor a las cabeceras HTTP relacionadas con la seguridad y a la infraestructura donde está alojado un sitio web, así por ejemplo, si se trata de un blog alojado en la infraestructura de Google o algún CDN dara un valor muy alto, a pesar de que muestre versión de software sin actualizar. Si por el contrario se trata de un sitio web alojado en un hosting normal, no está muy actualizado y muestra mucha información, el valor será muy bajo.Generalmente, a partir de 20 puntos se considera decente. Mas detalles.


¿Qué hago si muestra una muy baja puntuación de un sitio de mi propiedad?

Para mejorar la puntuación puedes hacer varias cosas, lo que más se valorará será la incorporación de un firewall de aplicaciones o proxy inverso para proteger el sitio web (lo que requerirá servicios de un profesional o compañía especializada) y/o también alojarlo en la infraestructura más segura de un tercero. También se pueden hacer cosas más sencillas y aconsejables como mantener las versiones actualizadas y no mostrar información adicional. Para una guia algo mas detallada echa un vistazo a "good practices in web security"


¿Es fiable la valoración?

Teniendo en cuenta que la informacion en la que se basa desenmascarame para analizar un sitio web (cabeceras HTTP principalmente) se puede falsear, habrá que ser cautos con la información que muestra. Generalmente será fiable en pequeños sitios web y aquellos sin recursos para realizar la configuración necesaria, en sitios web como banca online generalmente la puntuación será alta porque estos sitios se protegen adecuadamente, pero siempre puede haber sorpresas. Echa un vistazo a este divertido artículo sobre cabeceras HTTP extrañas en sitios web famosos.


¿Es fiable el mensaje que muestra de "Sitio web comprometido"?

Sí. Sí este mensaje aparece, significa que el sitio web está siendo detectado por la tecnología Safebrowsing de Google como sitio que contiene software malicioso. saber más sobre por qué ves este mensaje


¿Qué puedo hacer si muestra que mi sitio está infectado?

Primero que no cunda el panico, o sí :-), luego echa un vistazo a este post sobre que hacer cuando ves el mensaje "visitar este sitio puede dañar tu equipo".. También puedes acudir a foros especializados de ayuda para estos casos como badwarebusters y google malware


¿Y por que alguien va a querer infectar mi sitio?

Por multiples motivos. En las esquinas oscuras de Internet existen grupos organizados y muy especializados que haran negocio con ello. Echa un vistazo a este articulo. No importa el tamaño de tu compañía, de hecho, los sitios web pequeños son más golosos para los cibercriminales.
Echa un vistazo a este artículo: desenmascarando sitios web con spam y exploit kits


¿Es seguro realizar un análisis de un sitio web?

De la forma que lo hace desenmascarame si. El servicio es totalmente inocuo ya que no realiza ningún escaneo activo. Simplemente visualiza todas las cabeceras que se intercambian en una petición HTTP normal (igual que cuando navegas con tu navegador preferido por un sitio web) y realiza una evaluación de todo lo que observa. En los logs de los sitios web que analiza, se observarán dos peticiones GET, una como si se tratase de un navegador normal y otra con la firma del nombre de este servicio.


¿Qué información ofrece desenmascara.me?


¿Por qué sale el mensaje ( Sitio no oficial) o (Verificado) en algunos casos?

Counterfeit websites can also be harmful, as they contain malware and viruses that can infect your computer
El 80% de los españoles no comprueba la Seguridad de la web en la que introduce los datos.

En muchas situaciones, nos podemos encontrar con un sitio web que se parece al oficial pero no lo es. mira estos ejemplos. Hay diversas vías de identificar un sitio web falso, pero todas conllevan invertir un tiempo en una serie de comprobaciones que muchas veces no están al alcance de un usuario sin conocimientos en Internet. A veces es sencillo intuir si se trata de un sitio web oficial, no oficial o falso, pero en muchas otras ocasiones será complicado discernirlo ya que los estafadores online van mejorando su técnica y algunos sitios web pueden parecer totalmente profesionales. Con desenmascara.me, en tan solo unos segundos conseguiras averiguar una serie de datos del sitio web para ayudarte a decidir sobre su legitimidad. También bajo pedido puedo realizar una verificación de algún sitio web en especial y dejarlo categorizado según sea el resultado, tanto para indicar que un sitio web es oficial, como para indicar que uno o varios sitios web son falsos o no oficiales y se están aprovechando de la marca. Ventajas de verificar sitios:

DETECCION AUTOMATICA DE FALSIFICACIONES / COUNTERFEIT AUTOMATIC DETECTION

El sistema detecta automaticamente cuando un sitio web analizado vende productos de una determinada marca pero no es la web oficial. La web queda clasificada como No oficial y se publica a través de la cuenta de twitter desenmascarame mencionando a la marca afectada para que actúe en consecuencia si así lo considera oportuno.

Si eres una empresa de alguna reconocida marca, o proveedor de lucha contra el fraude de grandes marcas, te interesara tener acceso a la BBDD constantemente actualizada de sitios web activos, categorizados como fake o No oficial, por vender marcas como: Ray-Ban, LouisVuitton, Belstaff y Salomon por nombrar algunas.

Ponte en contacto conmigo si estas interesado en reportar algún sitio web; oficial, no oficial o falso.



¿Qué significa la etiqueta (Comercio electrónico)

En los comercios electrónicos, es decir, aquellos sitios web que venden servicios o productos online, es imprescindible confiar en ellos para poder faciltarles con toda garantía los datos necesarios para realizar el pago online. El procesamiento de pagos online pueden hacer principalmente de tres maneras:

Por ello es importante saber el método de pago de un sitio web, en los grandes sitios web oficiales no hay duda, pero hay otros sitios web en los que no será sencillo saberlo a priori, conocer este datos nos ofrecerá más o menos confianza a la hora de comprar online.

Ponte en contacto con nosotros si estas interesado en informar del método de procesamiento de cualquier sitio web que conozcas.


¿Detecta todos los servidores y tecnología disponibles?

Obviamente no. Existe tal multitud de tecnologías web e infraestructura que es imposible abarcar todo. Pero si reconoce una muestra muy representativa de las tecnologías mas usadas y normales. En referencia a esto podéis colaborar enviando sitios web cuya tecnología no reconoce todavía para ir mejorando el servicio.


Esta es una recopilación de los metadatos que actualmente detecta.

¿Cómo extrae los metadatos?

Para la extracción de los metadatos hace uso de el escaner de seguridad open source whatweb, en cuyo proyecto he colaborado con algún plugin. El creador de dicha herramienta conoce este servicio y cumple con su licencia GPLv2.


¿Vale como auditoría de Seguridad web?

No. Una auditoría de seguridad web es un proceso complejo que tiene que ser realizado por profesionales. La información que muestra este servicio se puede usar como parte de una auditoría web, pero como ya se ha comentado anteriormente, falsear los datos que proporciona un sitio web es sencillo, y no siempre van a ser fiables los datos que muestre este servicio.


¿Por qué sale la misma puntuación en diversos sitios web que estoy desenmascarando?

Esto será común en hosting compartidos. En dichos entornos la infraestructura y tecnología es la misma, por lo que la puntuación de todos los sitios web que residan en dicho hosting coincidirá.


¿Está disponible en más idiomas?

Por ahora, desenmascara.me está disponible únicamente en castellano. No insistas con el inglés. Pero no descarto que en un futuro esté disponible en más idiomas. Visita el proyecto OWASP unmaskme, se trata del mismo objetivo pero en inglés y en un entorno colaborativo.


¿Por qué no funciona con sitios web con redirecciones?

Los unicos tipos de redirección que actualmente no soporta desenmascara.me son las del tipo meta http-equiv='refresh'. Este tipo de redirección está desaconsejada por el w3c.


¿Que significa la pestaña 'comprometida'?

En ocasiones es posible que al desenmascarar un sitio web veas una segunda pestaña a parte del informe principal, tal y como se observa en la imagen inferior.




Si aparece esa pestaña, significa que el sitio web ha sido comprometido en el pasado y se ha guardado un registro (manual) de ello. Pulsando sobre dicha pestaña, podremos observar de forma muy resumida que le ocurrio, una aproximacion de fecha y una referencia para tener mas detalles:




Cada dia ocurren cientos de miles de incidentes web, esta funcionalidad solo destacara aquellos incidentes de Seguridad en sitios web de reconocido prestigio como; corporaciones, gobiernos, universidades, medios de informacion o cualquier otro ente de interes general.

De esta forma tendras a tu disposicion un lugar en el cual consultar de forma sencilla si un determinado sitio web fue objeto de un incidente de Seguridad y concienciar sobre la necesidad de la seguridad web. Si estos incidentes ocurren a las grandes compañias, que les podria ocurrir a las pequeñas y medianas.

¿Pero esta informacion no esta ya en zone-h?: zone.h se dedica a recopilar informacion de sitios web que han sufrido un defacement, de cualquier sitio web. Desenmascara.me informará de sitios web relevantes, tal y como se indica en el párrafo anterior. Es posible que a veces algunos sitios coincidan, pero por lo general no. El termino brecha de seguridad es mucho más amplio y serio que un defacement.

¿Y qué diferencia hay entre un sitio web comprometido y un sitio web con badware?: El termino comprometido es muy amplio, por ejemplo un sitio web puede haber sufrido una inyección sql para acceder a la base de datos de usuarios. Mientras este incidente habrá comprometido la seguridad del sitio web, nada tiene que ver con badware, aunque es posible que en ocasiones coincida un sitio web comprometido y que este distribuyendo badware.

Y que criterio se sigue para incluir un sitio web en esta categoria? Se utiliza la experiencia y el buen criterio. Si un sitio web o compania aparece en los medios debido a que han sido victimas de un incidente de Seguridad, se valoraran las causas para incluirlo en esta categoria. Por ejemplo, vulnerabilidades tipo la de prezi no entraran en esta categoria, ya que demuestran buenas practicas en Seguridad, y no fueron victimas de ningun incidente.

En este enlace podras consultar los ultimos 10 sitios web relevantes que han sufrido un incidente de Seguridad.


Why does sometimes I see the text "Suspicious registrar?

In relation to the trust and security of domain registrars, I have no found a formal research, the most closed I have found is the Lavasoft's article: "Detecting malicious URLs - Part 3: Suspicious registrars" and my own experience running this service. If you see this message then it means that the domain registrar has a bad reputation because domains related with: malware, phishing and fake brand shops, has been register on this registrar.


¿Es este proyecto Open Source?

Desenmascara.me es solo una prueba de concepto para concienciar sobre los metadatos que un sitio web expone. Toda la informacion de la cual hace uso para interpretar correctamente la informacion obtenida es un proyecto Open Source.


¿Puedo recibir avisos automaticos sobre algo que afecte a mi sitio web?

Desenmascara.me te informa sobre multiples caracteristicas de un sitio web, como por ejemplo; caducidad del dominio, versiones vulnerables de CMS y componentes web, iframes sospechosos, etc. Si te gustaría recibir un aviso cuando una vulnerabilidad crítica como la de Drupal te podría afectar, ponte en contacto conmigo o prueba el servicio beta.


¿Quién está detras?

Mi nombre es Emilio Casbas, trabajo en el área de Seguridad IT y este proyecto de concienciación nacio a través de mi experiencia de ver sitios web descuidados que son aprovechados por los ciberdelincuentes. Puedes consultar más detalles del mismo en esta resumida presentación. Es mi pequeña aportación para hacer de la web un sitio más seguro para todos. No dudes en contactar conmigo para cualquier consulta o duda.


David Alegría, el ganador del cartel de San Fermin 2012 tuvo el detalle de, en unas pocas horas, tras solicitarle algo para desenmascara.me, enviarme el logo actual. Desde aquí darle las gracias a David, que además de ser conterráneo, hemos compartido aficiones comunes.


¿Sobre que infraestructura esta el servicio?

El servicio necesita estar online 24x7x365. Actualmente se encuentra en un hosting de Amazon con diferentes modulos para distribuir la carga y ser escalable. Hay un sistema de pre-produccion con abserver, y actualmente estoy valorando la opcion de migrarlo a la nueva plataforma cloud4app que en breve estara disponible.


¿Tienes más dudas?

Pues envíame cualquier sugerencia o comentario a través del formulario de contacto o a mi dirección de correo.


¿Quieres recibir una pegatina gratis?

Para recibir una pegatina gratis, tan solo tienes que twitear el resultado de desenmascarar tu sitio web, o cualquier otro, y enviar a traves del formulario un enlace al tweet y los datos donde se quiera recibir la pegatina.


Recursos para sitios web comprometidos ( también conocido como hackeados )


Otros sitios similares para concienciar sobre la tecnología