La seguridad en segundo plano

Seba Bortnik —  22 diciembre 2009 — 4 comentarios

La realidad es que ese es el lugar que ocupa la seguridad para los programadores. Para los programadores web en particular, ni hablar. A pesar de ser los más atacados, en la mayoría de los casos no tienen ni puta idea de cómo asegurar básicamente un sitio web. Ya no estoy hablando de cosas complejas, sino de cómo protegerse ante ataques que puede realizar cualquiera con medianos conocimientos y publicar y exponer información de forma simple.

Tal es el caso de lo que le ocurrió a Nokia, con su famoso Día N , una campaña de marketing online que estuvieron realizando las últimas semanas.

Hace unos días un lector del blog (¡gracias Marco!) me pasó un enlace a un sitio web que pudo hacer una intrusión a la base de datos del concurso. Algo lamentable, para una empresa como Nokia. Está claro que ellos no son los responsables de los errores, sino la empresa que desarrolló el sitio.

Sin embargo, el día que las empresas empiecen a exigir seguridad a sus proveedores será un gran paso en pos de la seguridad.

Entre otras cosas, el muchacho descubrió que mientras que Nokia anunció que participaron más de 30 mil personas, la base de datos sólo registraba poco más de 20 mil, de los cuales casi la mitad ni siquiera habían sumado un sólo punto.  Además, hay datos estadísticos de los participantes y los puntajes. También están disponibles los scripts y su código con los que pudo realizar la intrusión.

No puedo cerrar con mis palabras porque el muchacho lo resumió muy bien: señores, deben ” contratar empresas de IT competentes que sepan testear sus desarrollos antes de ponerlos en producción “. Es así. Creo que todavía el mundo no comprende lo que implica una intrusión en una base de datos entonces una noticia de este tipo no vende. Si yo digo que me infiltré en Nokia y saqué los datos de 10 clientes, lo meto en todos los diarios; pero este pibe que se metió en datos también sensibles, es una noticia que no vende.

Pero ya lo hará. Ya pasará que algún día los medios masivos tomen alguna de estas intrusiones y hagan pelota a una compañía. Y ahí sí, estoy seguro, que la próxima vez que hagan una aplicación web, va a ser muy, pero muy segura.

About these ads

4 responses to La seguridad en segundo plano

  1. 

    Lo mas increible Seba es que el 80% de los programadores php que conozco no solo no tienen ni puta idea de los conceptos basicos de seguridad, sinò que no se capacitan ni en cursos ni descargando material d lectura (que hay muchisimo y muy bueno) .

    Lo peor de todo es que tampoco sabe que existen aplicaciones que “atacan” una determinada aplicaciòn web y te devuelven un reporte muy detallado sobre las vulnerabilidades. Algunas son excelentes! y de estas excelentes conozco una gratuita desarrollada por Andrés Riancho (que ya conoces).

    Para quienes estén interesados recomiendo estas dos excelentes herramientas:

    Open Source (pyton):
    W3AF (Web Application Attack and Audit Framework)
    http://w3af.sourceforge.net/
    Desarrollada por un experto en seguridad argentino

    Comercial (pero posee tambien una ediciòn free)
    Acunetix Pro (Acunetix Web Security Scanner)
    http://www.acunetix.com/

    Ambas herramientas poseen una gran variedad de instrumentos para auditar una aplicaciòn contra diferentes ataques como XSS, SQLI, XSRF, Blind SQLI, responseSplitting, osCommandingShell, RFI, LFI, XPATH injection, … y unos cuantos mas, todos configurables.

    Lo que yo pienso es que un lenguage como php por ejemplo o ASP que permiten con muy poco conocimieto hacer cosas “divertidas” dan tambien la posibilidad a muchisimos desarrolladores inexpertos de meterse en el mercado y la ignorancia general de las empresas sobre el tema deja la posibilidad abierta casi sin control( no hablo de Nokia porque es un caso de irresponsabilidad casi vergonzoso ) .

    Uno de los vectores mas extenddos de ataque a una web es XSS y es realmente el mas facil de evitar. No me excluyo de esto yo tabien he encontrado problemas en mis viejas apps y algunos en las nuvas, pero desde hace 4 años testeo todo 4 o 5 veces y lo hago desde el primer momento e la fase de desarrollo.

    Debo decir que W3AF me ha sido de incomparble ayuda.

  2. 

    Jajaja, jamás creí que iba a salir en ningún lugar (no lo difundí, sólo pasé link a amigos). Espero que ahora tenga más repercusión, ahora agrego mail de contacto por si acaso :P.

Trackbacks and Pingbacks:

  1. Tweets that mention La seguridad en segundo plano « Un Mundo Binario -- Topsy.com - diciembre 23, 2009

    [...] This post was mentioned on Twitter by Sebastián Bortnik, UFO. UFO said: RT @sebabortnik Blog: La seguridad en segundo plano http://bit.ly/8K1pHE [...]

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s