Archive

ModSecurity

ModSecurity és un mòdul de seguretat per a servidors web que proporciona una capa de protecció contra atacs comuns i personalitzats. En aquest article, explicarem què és ModSecurity, com funciona, com atura els atacs i per què és convenient implantar-lo al nostre lloc web.

Què és ModSecurity?

ModSecurity és un mòdul de seguretat per a servidors web Apache, Nginx i IIS que actua com un tallafocs d’aplicacions web (WAF). Un WAF és un sistema que filtra i bloqueja el trànsit maliciós que intenta explotar vulnerabilitats a les aplicacions web. ModSecurity es pot configurar per detectar i prevenir atacs com injecció SQL, cross-site scripting (XSS), inclusió remota de fitxers (RFI), denegació de servei (DoS), entre d’altres.

Com funciona ModSecurity?

ModSecurity funciona mitjançant l’anàlisi de les peticions HTTP que arriben al servidor web i les respostes que s’hi generen. ModSecurity utilitza un conjunt de regles que defineixen els patrons de comportament anòmal o maliciós que es volen bloquejar. Aquestes regles es poden personalitzar segons les necessitats de cada lloc web, o es poden utilitzar regles predefinides com les de l’OWASP Core Rule Set (CRS), que cobreixen els atacs més comuns.

Quan ModSecurity detecta una petició o una resposta que coincideix amb alguna de les regles, podeu realitzar diferents accions, com:

– Permetre el pas de la petició o resposta sense modificar-la.
– Denegar el pas de la petició o la resposta i tornar un codi d’error al client.
– Redirigir la petició o la resposta a una altra URL.
– Modificar la petició o la resposta per eliminar o afegir algun element.
– Registrar l’esdeveniment en un fitxer de log o en una base de dades.

Com atura ModSecurity els atacs?

ModSecurity atura els atacs mitjançant el bloqueig de les peticions o les respostes que contenen elements sospitosos o malintencionats. Per exemple, si una petició conté una cadena com a ‘OR 1=1’, que és típica d’una injecció SQL, ModSecurity pot bloquejar-la i tornar un codi d’error 403 al client, evitant que l’atac arribi a la base de dades. D’aquesta manera, ModSecurity protegeix el lloc web de possibles danys o robatoris d’informació.

Per què implantar ModSecurity?

Implantar ModSecurity té diversos avantatges per a la seguretat i el rendiment del nostre lloc web, com ara:

– Augmenta la protecció contra atacs coneguts i desconeguts, ja que ModSecurity es pot adaptar a les noves amenaces mitjançant l’actualització o la creació de noves regles.
– Redueix el risc de patir bretxes de seguretat, fuites de dades o pèrdua de reputació, ja que ModSecurity evita que els atacants accedeixin a informació sensible o comprometin el funcionament del lloc web.
– Millora el rendiment del servidor web, ja que ModSecurity redueix la càrrega de treball en filtrar el trànsit maliciós abans que arribi a les aplicacions web.
– Facilita el compliment de normatives i estàndards de seguretat, com el PCI DSS, el GDPR o l’ISO 27001, ja que ModSecurity ajuda a mantenir un nivell adequat de seguretat a les aplicacions web.

En conclusió, ModSecurity és un mòdul de seguretat per a servidors web que ofereix una capa addicional de defensa contra els atacs a les aplicacions web. El seu funcionament es basa en l’anàlisi i el filtratge del trànsit HTTP mitjançant regles que es poden personalitzar segons les necessitats de cada lloc web. La seva implantació suposa una millora en la seguretat i el rendiment del lloc web, així com una facilitat més gran per complir amb les normatives i els estàndards vigents.

ISPACTIVO te la instal·lació de ModSecurity a tots els seus servidors, per tal d’elevar la protecció dels nostres clients.

 

Algú està enviant correu-vos usant el meu domini

Mail Spoofing

El Mail Spoofing és quan un usuari rep un correu del seu propi domini, semblant com si ella/ell fossin el propi emissor.

En la majoria dels casos aquests enviaments són externs, és a dir, s’usa com a remitent del missatge l’adreça de correu del propi usuari o un altre del seu mateix domini (existent o no), tanmateix, això no significa que el correu s’hagi generat en el seu servidor o que s’hagi violat la seguretat del seu correu, simplement s’utilitza algun tipus de programa per a simular que el remitent pertany al mateix domini que el destinatari i així passar alguns filtres comuns de correu entrant.

Si consideres que el teu compte de correu ha estat compromesa, si us plau canvia la contrasenya per una més forta i si contínues rebent correu-vos enviats en el teu nom que no has enviat tu, si us plau còpia els encapçalats d’un d’aquests correus en un Tiquet per al nostre equip de suport tècnic. Nosaltres podrem verificar i assegurar-nos que aquest correu no provingui de cap dels teus comptes i prendre les mesures necessàries.

Amb els encapçalats que enviïs serà suficient per a identificar el servidor responsable de l’enviament de correus no autoritzats,

Si has rebut un correu similar a l’exemple, tranquil el teu dispositiu no ha estat “hackeado”. Es tracta d’un intent d’estafa, que es basa en l’enginyera social per a intentar enganyar la víctima i que realitzi un pagament econòmic sota el pretext de no difondre suposat material compromès seu.

Com es realitzen aquestes campanyes?

Es tracta d’una modalitat coneguda com Spoofing que consisteix a suplantar el servidor i fer semblar que el domini és d’una direcció de confiança. Per a aconseguir-ho els cibercriminales es “connecten amb servidors de correu, que permeten reexpedir missatges utilitzant un àlies diferent, que en aquest cas seria el compte de la persona”.

El Protocol Simple de Transferència de Correu (SMTP) no va ser dissenyat per a autenticar als remitents ni verificar la integritat dels missatges rebuts. Per tant, és fàcil alterar o suplantar l’origen d’un correu electrònic”.

Exemple d’email enviat

A continuació adjuntem un exemple dels quals solen enviar els atacants, indicant que ens han hackeado i ens sol·liciten el pagament mitjançant bitcóin per a no difondre aquest contingut suposadament sensible.

 

Spoofing mail

Recomanacions per a evitar ser víctima d’aquests fraus:

No obri correus d’usuaris desconeguts o que no hagis sol·licitat, eliminar-los directament.
No contesti en cap cas a aquests correus, ni enviï informació personal.
Tingui sempre actualitzat el sistema operatiu i l’antivirus.
Utilitzi contrasenyes segures i diferents per a serveis diferents. Utilitzar un gestor de contrasenyes li facilitarà aquesta tasca.
Utilitzar el doble factor d’autenticació sempre que estigui disponible en el servei utilitzat.

Les principals amenaces a ciberseguretat 2020

Durant aquest últim e insòlit 2020, els atacs més freqüents han estat els següents:

1º Ransomware; Mitjançant el qual es pretén xifrar la informació per demanar després un rescat. El mitjà més freqüent ha estat el phishing, suplantant la identitat de diferents institucions com; OMS, Ministeri de treball, Servei Públic d’Ocupació (..)

L’última versió és que primer exfiltran la informació abans de xifrar demanant un rescat a l’empresa amenaçant amb publicar-la sinó el realitzen.

Robatori de credencials; La manera de procedir també ha estat el phishing, així obtenen les credencials dels usuaris i accedeixen als seus comptes bancaris i serveis en el núvol. Per exemple, el robatori de credencials de Microsoft 365 els permet configurar paraules clau que es reenvien a un compte de correu amb la finalitat de preparar un frau a l’CEO.

Atacs a escriptoris remots; A causa de la situació actual de pandèmia i la necessitat de l’teletreball, moltes empreses van publicar els escriptoris remots dels empleats a Internet, sense una seguretat addicional com pot ser una VPN.

Fraus a el CEO; la situació de teletreball ha fet que hi hagi un major aïllament de el personal, amb la qual cosa han augmentat els casos de suplantació d’el director general.