Seguridad

Robots, bots, spiders, arañas, pueden llamarlos como quieran, pero lo importante es saber que se trata del software que usan los buscadores y otros sitios para recorrer la web e indexar contenido. Por ende, son a quienes les debemos “decir” que es lo que queremos, o no, indexen de nuestro sitio, y para eso existe el archivo robots.txt.

R2D2 tiene mas onda que Asimo

Imagen robada sin escrúpulos de Wikipedia. shhh, botones.

¿Qué hace el archivo robots.txt?

El archivo robots.txt debe ser accesible públicamente y estar ubicado en directorio raíz del host, ej: cibergeek.com/robots.txt. Debido a que es su naturaleza publica muchas veces son indexados por Google y publicados en los resultados.

Éste archivo contiene directivas para indicarle a los bots que es lo que pueden, y no pueden, indexar. Y si bien según el W3C en el archivo robots.txt solo sé debe indicar que es lo que NO se deben indexar mediante la directiva “Disallow”, Google admite la directiva “Allow”, que justamente tiene permite indicar que es lo que se puede indexar.

Además de indicar que, también permite indicar el quien, ya que la directiva “User-agent” tiene como finalidad crear diferentes reglas para los diferentes bots.

¿Hay alguna otra forma de hacerlo?

El archivo robots.txt muchas veces tiene problemas con la granularidad, y es por eso que se puede complementar con la etiqueta “meta“, la cual permite definir en cada pagina si ésta puede ser indexada, además de detalles extras, como si los links de la pagina se deben seguir.

<meta name=”robots” content=”noindex, nofollow”>

Como se habrán dado cuenta, la etiqueta “meta” tiene la desventaja de poder estar presente solo en paginas HTML, y no en recursos como archivos PDF, SQL, etc, y aquí entran en juego los encabezados HTTP (HTTP Headers), los cuales permiten mediante el agregado del elemento “X-Robots-Tag”, incluir en la respuesta del servidor la misma información que se puede especificar en la etiqueta de HTML.

Pueden leer un poco sobre el uso de las etiquetas en la web de NoArchive.

La seguridad por oscuridad y el archivo robots.txt son incompatibles

Y por fin llegamos a lo que quería remarcar, tal vez la introducción fue un poco larga, pero bueno, quería añadir un poco de contexto. El concepto de seguridad por oscuridad se basa en una decisión de diseño que lleva a pensar que la información, si bien es vulnerable, el desconocimiento de la ubicación de la misma le da su seguridad.

Y es cuando el webmaster (que palabra vieja), quiere asegurarse de que los buscadores no indexen la misma cuando la terminan haciendo vulnerable, ya que el archivo robots.txt termina indicando como acceder a eso que muchas veces no se quiere hacer publico, aunque también sirve para evitar que los buscadores indexen paginas que no tienen ningún contenido o las cuales consumen muchos recursos como para ser servidas a un bot.

Por todo esto es que si quieren que algún archivo o servicio que no sea accesible al publico, lo que no deben hacer es incluirlo en el robots.txt. Sino que deben utilizar otras estrategias, como agregar el elemento X-Robots-Tags a los headers, o mejor aún, si se trata de información sensible, no enlazarla desde ningún lado, además de setear correctamente los Headers HTTP, si bien deberían situarla detrás de algún tipo de autenticación, al menos. No vaya a ser que mediante una búsqueda terminen quedando expuestos esos archivos que se esforzaron en ocultar, un Streisand Effect en potencia.

Conclusión (TL;DR)

Si querés ocultar algo y evitar que lo indexen, no lo agregues en el archivo robots.txt. Usá las demás alternativas.

Empecemos con un viejo y conocido refrán: “En casa de herrero, cuchillo de palo“. Dicho esto, seguimos con el post, y estén atentos, ya que esto los puede salvar de un aprieto, y es super sencillo, tan sencillo que hasta yo podría hacerlo.

Evitar el listado de directorios en Apache

Seguramente estén pensando ¿A mi para que me sirve esto? Y bueno, no hay mejor forma que ejemplificando, por ejemplo, existen plugins en WordPress que almacenan archivos en la carpeta “wp-content/uploads”, muchos de estos son plugins que hacen backups o permiten descargar listados de emails, así que con un poco de Google-fu pueden llegar a encontrar muchas cosas.

http://www.google.com/#q=%22Index+of+%2Fwp-content%2Fuploads%2Fbackupbuddy_backups%22+zip

Pero los backups son aburridos y no se pueden vender, mejor vamos por un listado de mails.

https://www.google.com/search?q=”Index%20of%20%2Fwp-content%2Fuploads%2Fwp-mailinglist”%20csv

E incluso hay cosas mas interesantes, por ejemplo, el otro día encontré un sitio que vende un plugin para ayudar con el marketing de WordPress a 65 dolares y lo tiene disponible para descargar gratis en la carpeta “uploads”. Les avisé hace mas de una semana y ni siquiera intentaron bajarlo, o al menos cambiar la configuración. Pero bueno, ahora vamos a lo importante, como evitarlo.

Hay 2 formas de evitarlo (en Apache):

1. Una forma de hacerlo, mas “artesanal”, es poniendo un archivo con el nombre “index.html” (sin comillas) en el directorio en el que quiere evitar el listado. El archivo puede estar vacío.
2. La forma que recomendaría un sysadmin es utilizando el archivo “.htaccess” y agregando la siguiente linea:
   
   Options -Indexes 

   Esto deshabilita el listado en el directorio en donde se encuentra el  archivo “.htaccess” y en todos los subdirectorios que se encuentren por debajo. 

Otra forma de hacerlo es con la directiva “IndexIgnore“, por ejemplo, para que no se listen los archivos PHP se usa así “IndexIgnore *.php“, si quieren bloquear todo solo escriben el asterisco (wildcard).

Si tienen acceso al archivos de configuración de Apache esto también se puede hacer desde ahí, pero no es la situación mas habitual.

Impresoras expuestas por Google

Google es el ojo que todo lo ve, o mejor dicho, la araña que todo lo atrapa, dejó expuestas una cantidad importante de impresoras que se encontraban mal configuradas, o al menos en redes mal configuradas. Muchas de los dispositivos pertenecen a facultades, y desde su interfaz nos permiten controlar todos los aspectos de configuración, e incluso realizar impresiones.

Para encontrar estos dispositivos hay que realizar una búsqueda “mágica”, recuerdo hace mucho tiempo se hacia lo mismo para encontrar webcams, y hoy todavía se puede seguir haciendo, para ver el listado de impresoras indexadas deben buscar lo siguiente:

inurl:hp/device/this.LCDispatcher?nav=hp.Print

Confío en la ética de los lectores y espero que a nadie se le de por andar de bromas, ya que a menos que encuentren un equipo que les quede cerca, no vale la pena imprimir nada, ya que nunca se encontraran con su impresión. Si de todos modos quieren probar si funciona les sugiero que impriman lo siguiente: “I’m Skynet, I own you and your technology”, o sino algo referido a su terrorista favorito.

Guías de configuración de Seguridad para Windows, Mac OS, Linux y Solaris

En el sitio de la Agencia de Seguridad Nacional de Estados Unidos hay una serie de artículos con recomendaciones de seguridad para distintos Sistemas Operativos, como son Windows, Mac OS, Linux y Solaris. Éstos documentos son utilizados gubernamentalmente y por empresas externas, según dice el sitio de la NSA.

Logo de la NSA y del CSS

Configuración de seguridad para Sistemas Operativos Windows

Las guías abarcan los siguiente sistemas operativos de Microsoft: Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 y Microsoft Windows Applications.

Configuración de seguridad para Sistemas Operativos Mac OS

En el caso de Apple hay guías disponibles para Mac OS X  10.6 Snow Leopard y Mac OS X 10.5 Leopard.

Configuración de seguridad para Sistemas Operativos Linux

Del lado de Linux solo existe informacion para la distribucion Red Hat Enterprise Linux 5.

Configuración de seguridad para Sistemas Operativos Solaris

Por ultima también tienen guías para el ex Sistema Operativo de Sun Microsystem que ahora pertenece a Oracle, Solaris 10 y Solaris 9.

Si les interesa pueden ingresar a la pagina de la NSA.

Descargar el Service Pack 1 para Windows 7

Microsoft ha presentado oficialmente el SP1 para Windows 7, ya que hace algunos días estaba circulando un archivo torrent que realmente no es muy recomendable instalar.

Para descargarlo pueden dirigirse a éste sitio, o activar las actualizaciones automáticas en su computadora.

En caso de que tengan un error al instalar el service pack 1 para Windows 7 pueden consultar en ésta Web.

Otro método para instalar el SP1 para Windows 7 es ir al menú inicio, y en la barra de búsquedas tipear “Windows Update” y luego hacer clic en “buscar actualizaciones“.