La semana pasada escribí un post titulado “Cuando somos nosotros los culpables”, respecto a cómo, tanto usuarios y administradores, somos en parte responsables de muchos de los problemas de seguridad relacionados con el malware.
En ese post destacaba los casos del cliqueo adictivo sobre enlaces a mensajes de correo electrónico que nos llegan, así como el alojamiento de malware en sitios web “normales” debido a que los administradores no toman las medidas de seguridad necesarias.
Pero que quede claro, no sólo de eso somos culpables, hay más, y esto no es más que una toma de conciencia de lo irresponsables que somos muchos al andar por Internet.
Los usuarios de Internet están siendo cada vez más culpables de que sus usuarios y contraseñas circulen por la red. ¿Por qué? Porque ellos mismos son quienes los entregan, voluntariamente, a terceros, sin siquiera pensar en quien los está viendo del otro lado.
Ya había hecho referencia al tema cuando escribí “¡Conseguí amigos y mucho spam!”, pero no solo nos quedamos ahí.
Acá tenés las llaves de mi casa, desconocido
Esta semana recibo de un amigo, por MSN, un mensaje simplemente con un enlace; ese enlace llevaba a una página donde se me solicitaban mis datos de usuario y contraseña de mi mensajero instantáneo. Leyendo para qué querían mis datos (además de para mil cosas maravillosas), reviso sus términos y condiciones, en las cuales claramente se expresaba que se usarían para distribuir más enlaces entre mis contactos de MSN.
Explicándolo simplemente: mis datos de usuario y contraseña serían usados para seguir distribuyendo esos enlaces entre mis amigos, con mi consentimiento, dado que estaba explicado en el sitio, aunque en letra pequeña, que para eso lo usarían.
Este tipo de servicios es seguido bien de cerca por Cristian de Segu-info, y justamente el que recibí lo comentamos en la semana, y encontrarán más detalles en los siguientes enlaces:
http://seguinfo.blogspot.com/2008/07/checkapic-otro-sitio-sospechoso.html
http://seguinfo.blogspot.com/2008/07/friendlypixx-roba-tus-datos.html
Lo que no terminan de comprender las personas que “caen voluntariamente” en este tipo de cosas, es que al ingresar su usuario y contraseña en este tipo de sitios que no conocen, le están entregando las llaves de su casa, y una vez hecho eso, no saben qué es lo que estos “desconocidos” harán con las mismas.
No importa cuantas veces advertimos sobre este tipo de cosas, siempre pero siempre, los usuarios de Internet siguen cayendo en estas trampas. Pese a que uno se cansa un poco de repetirlo, aquí van las recomendaciones sobre el tema:
- No ingresen su usuario y contraseña en sitios desconocidos.
- Referirse a la recomendación 1.
- Si no quedó claro, volver a referirse a la recomendación 1.
- Si hasta ahora no se entienden las recomendaciones de los 3 puntos anteriores, repito, ¡NO INGRESEN SUS CONTRASEÑAS EN SITIOS DESCONOCIDOS POR USTEDES! :-)
Desprotegiendo al querer proteger
Como siempre, los administradores a veces no se quedan atrás. Leo hoy en PuntoGeek sobre un servicio llamado DirProtect, que es básicamente una página que permite crear, en línea, los archivos necesarios para que, luego de subirlos a nuestro sitio web, podamos proteger algún directorio del mismo.
Quienes administramos sitios web, siempre tenemos la necesidad de que alguna parte del mismo quede fuera del acceso de cualquier curioso, y una de las mejores medidas para hacerlo, es cerrar esa parte mediante una protección, por ejemplo.
Si lo pensamos desde el punto de vista funcional, servicios como DirProtect son muy útiles para muchos de quienes hoy tienen un sitio web, pero no tienen los conocimientos técnicos necesarios para administrarlo completamente.
Pero si lo pensamos desde el punto de vista de la seguridad, al usar un servicio de DirProtect, ¡le estamos dando las llaves de nuestra casa a un desconocido antes incluso de poner la cerradura!
Esto es así porque el servicio nos pide: ruta del directorio a proteger de nuestro sitio web (la cual normalmente incluye el dominio de nuestra página), y el usuario y contraseña que queremos usar… o sea… ¡todo lo necesario para poder luego ingresar y saltar esa protección!
No es que crea que la gente detrás de DirProtect sea maliciosa o tenga esa intención con este servicio, pero no los conozco, entonces, si no sé quienes son, no los voy a invitar a que sepan como entrar a mi casa (Al menos yo, no invito desconocidos a mi hogar). Para colmo, en todo el sitio de DirProtect no encuentro ninguna confirmación de si almacenan esos datos o no, así como ni una declaración de si hacen algo con la información allí ingresada.
Este tipo de servicios puede ser muy útil, pero usarlos, implica abrir la puerta a futuros problemas de seguridad en nuestro sitio web. En este caso se aplican las mismas recomendaciones que dí antes: ¡No ingresar usuarios y contraseñas de algún servicio de uds. en un sitio desconocido!
En el caso particular de DirProtect, si así y todo tenés la necesidad utilizar el servicio, lo menos que podés hacer es:
- Ingresar una ruta inexistente y cuando se genere el htaccess, cambiala por la real
- Utilizar un usuario cualquiera, y cuando el archivo htpasswd se genere, cambialo por el que realmente querés utilizar (vas a tener que poner el password real de todas formas, pero al poner otro usuario y otra ruta, menos inseguro va a terminar siendo el tema)
“is”
No hay comentarios:
Publicar un comentario