Post Actualizado en julio 24, 2013


La seguridad: Un tema te película

Todos hemos tenido en alguna ocasión miedo a que se vulnere la seguridad de nuestro sitio web o sistema. Una de las mejores formas de asegurarnos de la seguridad de nuestros sistemas es tomar las medidas básicas de seguridad, instalar los paquetes adecuados y lo más importante hacer auditorias de seguridad. Comúnmente se usarán las […]

Todos hemos tenido en alguna ocasión miedo a que se vulnere la seguridad de nuestro sitio web o sistema. Una de las mejores formas de asegurarnos de la seguridad de nuestros sistemas es tomar las medidas básicas de seguridad, instalar los paquetes adecuados y lo más importante hacer auditorias de seguridad. Comúnmente se usarán las herramientas con las que que los mismos atacantes trabajan. ¿Pero cuales son? Quizá las películas nos puedan dar un poco de ayuda.

Con el afán de volverse realistas, los cineastas han recurrido cada vez más a las verdaderas técnicas de los expertos en seguridad. Por ejemplo en la aclamada película Matrix Reloaded se utiliza NMap para llevar acabo un exploit contra un servidor SSH, si el que usamos muchos para acceder a nuestros servidores de manera segura y trabajar sobre los frameworks de lado del servidor.
  
El programa sshnuke es una aplicación no existente para explotar una vulnerabilidad en SSH.

En Bourne Ultimátum la CIA necesita hackear el servidor de mails del periódico The Guardian en Inglaterra, para leer el mail de un reportero que fue asesinado por su propia compañía. Utilizan NMap para descubrir que el servidor corre bajo SSH 3.9p1, Postfix smtpd y un servidor DNS. En la escena se aprecia además el uso de Zenmap que es el GUI de NMap y el uso del shell Bash.
  
Y por último no un ataque pero si un sueño que varios aficionados a la tecnología habrán tenido alguna vez, un acceso como súper usuario al servidor de Microsoft.
 
Si bien estas imágenes han sido tomadas de la ficción, la seguridad y las vulnerabilidades a las que estamos expuestos en Internet no son producto de algún guión de película. Es un riesgo que existe y no debemos perder la atención en nuestras páginas Web.

Uno de los principales factores de riesgo para el Webmaster son las vulnerabilidades de los CMS mejor conocidos como sistemas manejadores de contenidos. Como son sistemas abiertos al uso amplio, son objeto de exploraciones continuas por parte de los equipos de seguridad o hackers del ambiente. Afortunadamente los equipos de voluntarios de los diferentes CMS crean parches a una velocidad constante para este tipo de fallos aunque solo sean vulnerabilidades en potencia sin ningún exploit conocido.

Es recomendable que si usamos algún CMS en nuestra página web estemos inscritos en las listas de seguridad o de bugs. Inmediatamente después de algún fallo es menester instalar el parche o dar de baja el servicio vulnerable para evitar que algún usuarios obtenga privilegios que no le corresponden, destruir los datos, denegar el servicio, etc… Pero no solo a la lista del CMS si no a las listas de los servicios que utiliza este CMS como PHP o Apache, etc.. y si es posible a alguna lista de seguridad.

Recordemos que conocer de seguridad nos ahorrará grande dolores de cabeza en el futuro, y ser precavidos vale más que lamentar los sucedido. Los Webmasters tienen una gran responsabilidad, y no se puede tomar a la liger. En otro artículo comentaremos que herramientas útiles existen para comprobar la seguridad de nuestros sitios , nuestro hospedaje web y su uso.