La siguiente es una lista representativa de los errores más comunes respecto a seguridad en sitios webs que he encontrado a lo largo de innumerables "investigaciones". Hay algo que todos los errores tienen en común: son sencillos de evitar. Es de esperar que esta lista la aprovechen para compararla con sus propios sitios web y puedan tomar las medidas necesarias.
Errores
1.- Dejar respaldos de configuraciones importantes en directorios Web: Muchos administradores y webmasters se confían y suben respaldos de las configuraciones a directorios accesibles desde Internet lo cual es un error GRAVISIMO, ya que si alguien logra descargar estos respaldos, puede obtener contraseñas de bases de datos, conocer la estructura del sitio, etc.
2.- Dejar contraseñas por defecto: No son pocos los sitios que he visto con /phpmyadmin/ sin ningún password. Es recomendable NO usar phpmyadmin, pero si lo va a hacer al menos póngale clave de root a MySQL y una doble clave con .htaccess al directorio /phpmyadmin/.
3.- Claves de acceso fáciles de adivinar : Normalmente en los formularios de acceso a sitios o generalmente en las plataformas de administración ( /admin/) utilizan claves muy fáciles de romper por adivinanza, como el nombre del dominio o la misma clave que el nombre de usuario. Grave error. Además, hay que recalcar que aunque nadie pueda tener nuestras claves, éstas generalmente quedan almacenadas en bases de datos cifradas con el algortimo md5 y tienen un aspecto similar a esto: 098f6bcd4621d373cade4e832627b4f6. Si la clave en sí es MUY simple, no sirve de mucho que vaya cifrada ya que mediante un ataque de diccionario se puede obtener el password, o si no vean http://www.md5encryption.com/?mod=decrypt y descifren 098f6bcd4621d373cade4e832627b4f6.
4.- No actualizar los softwares web: Muchos instalan Joomla o Dokeos y se olvidan de que existieron, se olvidan de las actualizaciones y al final terminan siendo el blanco de los script-kiddies que corren exploits como locos. Es importante actualizar los software web y sus componentes 3d Party.
5.-Creer que nadie los ataca: Desde que se instala un servidor nuevo con una IP nueva, está probado que en promedio pasan 5 horas antes de recibir los primeros escaneos desde algún lugar del mundo. No es buena práctica creer que nadie está pensando en destruirlos. Creo que este mismo sitio web ya tiene a varios nerds "sedientos" de hacerle algo.
6.-No realizarse autoataques. El hecho de autoatacarse y probar exploits y técnicas de hacking contra nuestros propios servidores ayuda a tener una visión más clara de los puntos débiles y por ende, se pueden fortalecer. Claro, esto depende netamente de la habilidad de cada uno, pero al menos si se le pone empeño se puede dejar fuera a varios lammers.
7.- Usar las mismas contraseñas de las bases de datos que usuarios del sistema: Hay muchas personas que tienen la mala costumbre de utilizar la misma clave de root de MySQL que la de root del sistema. Grave error, porque no es muy dificil aplicar técnicas de inclusión remota de archivos para mostrar el contenido de los scripts de configuración con los datos de las bases de datos (¿a alguien le suena config.php?). Una vez que se tienen los datos tipo: $username=root y $password=omaigad basta probar con una sesión SSH al servidor utilizando los mismos datos y... voilá!
8.-No usar https:// para formularios de login: Lo ideal es que cada vez que hayan formularios de login se utilicen sesiones cifradas con SSL (https), para evitar problemas de sniffing. Muchas veces es inviable hacerlo pero el error de los Webmasters está en que cuando se puede perfectamente, no lo implementan.
9.-Permitir que se liste el contenido de directorios: A veces ponemos www.sitioweb.com/scripts/ y el resultado es una lista interminable de scripts que muchas veces no funcionan y al tratar de ejecutarlos terminan arrojando errores que indican la ruta donde está instalada la página web dentro del sistema. Muchos usan el formato /home/usuario/, lo cual le dá al atacante un indicio del nombre de la cuenta de usuario bajo la cual corre la página web. Solución: de partida se puede crear un index.html en blanco en todos los directorios web para que no listen el contenido. Otra solución un poco más compleja pero efectiva es activar la opción -Indexes (con guión) en las directivas de Apache para el virtualhost en cuestión.
10.-No habilitar la seguridad de PHP: Quienes trabajan con PHP, en un 99% de los casos no habilitan las opciones de seguridad de php.ini. Hay dos variables interesantes que habilitar en php.ini: php_expose=off y safe_mode=on. Esta última opción evita que usando PHP se ejecuten instrucciones de sistema en la máquina. Por ejemplo en el caso de un ataque de inclusión remota, se puede crear un script con la intrucción system("cat /etc/shadow");, lo cual devolvería eventualmente el contenido de las contraseñas de sistemas cifradas. Si las passwords escogidas fueron simples, John The Ripper no demorará mucho en devolverlas. Solución, habiliten estas opciones en PHP.INI.
Y por último, pero no menos importante, casi siempre quedan disponibles scripts en las rutas www que tienen la función phpinfo(); la cual muestra mucha información del sistema. No es bueno tenerla activada (menos bajo un nombre tan común como info.php). Pueden eliminarla para evitar problemas.
lunes, 14 de abril de 2008
10 Motivos por que los Geek somos un buen partido xD
1.-Hacen más dinero: con sus blogs bien posicionados [no es mi caso], haciendo reviews sobre multiples servicios y proporcionando soporte técnico por aquí y por allá, sin gastar en oficinas, transportes, empleados… todo el $$$ se destina al amor de los amores.
2.-Son más inteligentes: si bien nos tildan de antisociales no se puede discutir que un geek sabe desde cómo hervir un huevo (con celulares) hasta los componentes del circuito eléctrico de una secadora de pelo, cosa que lo convertirá en un fuerte candidato para ser tu rival…dame 7 Ciryx y te hago el desayuno mamita…
3.-Prestan más atención a detalles: acostumbrado a discernir entre cientos de blogs de los que recibe información a diario, usar 5 aplicaciones al mismo tiempo, revisar las instalaciones de su blog constantemente son una ‘máquina deponer atención’ sin duda nada desperdiciable para cualquier mujer.
4.-Tienen excelente memoria: ejercitadas sus neuronas en recordar fechas de vencimiento de hostings, lanzamientos de distribuciones linux y expiración de programas shareware, recordar una fecha de nacimiento o el día del primer beso es pan comido para un geek.
5.-Seleccionan-y dan- mejores regalos: el tiempo invertido delante de una computadora les proporciona la mejor información al momento de elegir un obsequio [generalmente un gadget y las mujeres adoran los celus, los mp3, ipod y esas boludeces] que sin lugar a dudas será el mejor del mercado, evaluado por los expertos en la materia.
6.-Ponen un esfuerzo adicional: cuando la chica le solicita a un geek ayuda para un trabajo, éste le entregará no sólo un resumen de las 3 primeras búsquedas de Google si no documentos y ebooks PDF, videos y podcasts, y la habrá suscrito a un maillist o grupo donde se está discutiendo el asunto.
7.-Son mejores amantes: debido a que no invierten sus hormonas en manifestar su virilidad antre otros ‘machos’, en la cama, el geek se comporta como todo un conocedor del Kamasutra [del que ya sabía por unas diapositivas que le llegaron a su email], además, antes de ir ‘al grano’ incomodando a la chica, explora minuciosamente por todas partes.
8.-Muestran con naturalidad al niño que llevan dentro: para un geek es normal tener sobre su pc una figura articulada de “La Guerra de las Galaxias” o taparse por la noche con una cobija de Superman, cosas que un hombre convencional no se lo permite… y a las chicas les encanta.
9.-Los desperfectos ‘eléctricos’ son cosa del pasado: ¿un centro musical roto? ¿un equipo de home theater sin instalar? Las chicas no volverán a preocuparse por este tipo de cosas pues el geek es multiusos en todo lo referente a la electrónica, y si algo no lo sabe hacer, tendrá un amigo que sí o mejor áun, lo aprenderá buscando con José Guguel [Google].
10.-Son dignos de confianza: si otros se han atrevido a confiarles los sitemas de seguridad informática de su empresas, sus transacciones electrónicas, el diseño de la imagen corporativa de su startup… ¿qué no puede esperar una novia? Fidelidad y discreción garantizada.
Por eso chicas, los geek somos lo mejor que pueden elegir para toda la bida [Si, ya se que es con V, pero esta es una “vida larga”]
Fuente: Lo robe del plog del Perro xD...
2.-Son más inteligentes: si bien nos tildan de antisociales no se puede discutir que un geek sabe desde cómo hervir un huevo (con celulares) hasta los componentes del circuito eléctrico de una secadora de pelo, cosa que lo convertirá en un fuerte candidato para ser tu rival…dame 7 Ciryx y te hago el desayuno mamita…
3.-Prestan más atención a detalles: acostumbrado a discernir entre cientos de blogs de los que recibe información a diario, usar 5 aplicaciones al mismo tiempo, revisar las instalaciones de su blog constantemente son una ‘máquina deponer atención’ sin duda nada desperdiciable para cualquier mujer.
4.-Tienen excelente memoria: ejercitadas sus neuronas en recordar fechas de vencimiento de hostings, lanzamientos de distribuciones linux y expiración de programas shareware, recordar una fecha de nacimiento o el día del primer beso es pan comido para un geek.
5.-Seleccionan-y dan- mejores regalos: el tiempo invertido delante de una computadora les proporciona la mejor información al momento de elegir un obsequio [generalmente un gadget y las mujeres adoran los celus, los mp3, ipod y esas boludeces] que sin lugar a dudas será el mejor del mercado, evaluado por los expertos en la materia.
6.-Ponen un esfuerzo adicional: cuando la chica le solicita a un geek ayuda para un trabajo, éste le entregará no sólo un resumen de las 3 primeras búsquedas de Google si no documentos y ebooks PDF, videos y podcasts, y la habrá suscrito a un maillist o grupo donde se está discutiendo el asunto.
7.-Son mejores amantes: debido a que no invierten sus hormonas en manifestar su virilidad antre otros ‘machos’, en la cama, el geek se comporta como todo un conocedor del Kamasutra [del que ya sabía por unas diapositivas que le llegaron a su email], además, antes de ir ‘al grano’ incomodando a la chica, explora minuciosamente por todas partes.
8.-Muestran con naturalidad al niño que llevan dentro: para un geek es normal tener sobre su pc una figura articulada de “La Guerra de las Galaxias” o taparse por la noche con una cobija de Superman, cosas que un hombre convencional no se lo permite… y a las chicas les encanta.
9.-Los desperfectos ‘eléctricos’ son cosa del pasado: ¿un centro musical roto? ¿un equipo de home theater sin instalar? Las chicas no volverán a preocuparse por este tipo de cosas pues el geek es multiusos en todo lo referente a la electrónica, y si algo no lo sabe hacer, tendrá un amigo que sí o mejor áun, lo aprenderá buscando con José Guguel [Google].
10.-Son dignos de confianza: si otros se han atrevido a confiarles los sitemas de seguridad informática de su empresas, sus transacciones electrónicas, el diseño de la imagen corporativa de su startup… ¿qué no puede esperar una novia? Fidelidad y discreción garantizada.
Por eso chicas, los geek somos lo mejor que pueden elegir para toda la bida [Si, ya se que es con V, pero esta es una “vida larga”]
Fuente: Lo robe del plog del Perro xD...
Suscribirse a:
Entradas (Atom)