AS

Una charla más sobre IN-Seguidad Informática y siempre es inevitable tocar el tema de los “defaceos” de web, más aún cuando estoy en Tacna, muy cerca a donde se han originado los últimos ataques de este tipo hacia servidores web del gobierno peruano.

La palabra “defaceo” es una derivación de la palabra en Inglés “defacement” que quiere decir quitarle el rostro a algo y corresponde a lo que comúnmente se conoce como “hackeo” de un web (otra palabra derivda del Inglés hacking o hacked, en este caso).

Y es que no solamente no solemos llamar a las cosas como son (al menos en este tópico) sino que parece que los servidores web del gobierno peruano siempre resultan un blanco fácil de los atacantes, en esta oportunidad, de los chilenos debido al caso de espionaje más reciente. La verdad de las cosas es que los problemas de seguridad de los cuales se aprovechan los atacantes para cambiar el rostro de estos servidores web existen también muchos otros webs del mundo, pero, no debería aplicarse aquí el famoso dicho “mal de muchos, consuelo de tontos”.

El problema real es que tener servidores inseguros permite que la imagen de las organizaciones sea afectada, que el Perú y los peruanos seamos insultados y de forma más tangible, impide que uno de los medios más importantes que debería tener el gobierno para informar a los ciudadanos, sea mal utilizado.

En qué consisten los problemas o vulnerabilidades de estos servidores web? Desde hace varios años siguen siendo los mismos: permitir inclusión de archivos en forma remota, permitir la carga de archivos sin controlar el tipo de los mismos, instalar aplicaciones que no validan la información que se ingresa en sus formatos y tener software obsoleto (sin importar si es software comercial o libre).

Pero, el problema de fondo es que no se toman en serio la seguridad. Varias instituciones del Estado han contratado servicios de ethical hacking y al menos en los que nos ha tocado participar, se han encontrado problemas en los servidores que permiten hacer defaceos o incluso ataques más serios (como el cross site scripting que permite hacer ataques como el efectuado recientemente al web de la Marina de Guerra del Perú y que mejor explotado permite robar credenciales de aquellos que navegan en estos sitios vulnerables).

Que deben hacer las organizaciones para prevenir estos incidentes y mitigar los riesgos que a los que están expuestos ? No es la lista de Papá Noel, es simple y concreto.

Someter sus servidores web e infraestructura relacionada a pruebas de ethical hacking.
Someter el código fuente de las aplicaciones que interactuan con bases de datos (de cualquier tipo) a revisiones de seguridad del mismo.
Colocar proxies reversos en primera instancia como la medida preliminar de protección.
Entrenar a su personal en pruebas de seguridad y aseguramiento de los componentes de este tipo de soluciones (sistemas operativos, software de web, bases de datos, programación).
Dedicar un equipo de gente técnica a las labores de seguridad de la información y seguridad informática (no es suficiente nombrar un responsable por la seguridad).
Seleccionar adecuadamente a los proveedores requiriéndoles personal certificado en temas de seguridad no relacionados a productos (CISSP, CISM, CISA, CEH, GPEN, OSCP, etc.)

No se debe caer en el conformismo en estos aspectos porque ocurren cosas como lo que ocurrió con uno de los servidores webs peruanos atacados por chilenos que hasta era noticia en la televisión y el servidor web seguía activo con las mismas vulnerabilidades.

Y mientras tanto, que pasa en el país donde se originaron los ataques con respecto a los servidores web de su gobierno ? Sencillamente están más seguros, no invulnerables porque están hechos por humanos y como tales, cometen errores, pero, están más seguros que los nuestros.

Aca corresponde una acción conjunta entre clientes, proveedores y especialistas técnicos que no debe ser utilizada con afanes de politiquería sino que nos lleve a cosas similares como las que ha hecho US convocando a especialistas en hacking a través de un reto a nivel nacional y así poder elevar el nivel técnico en su país, el cual ha sido rebasado por países como China. De esta forma, tienen como objetivo definir expertos que puedan apoyar al gobierno, que puedan ser contratados por organizaciones privadas, que puedan entrenar a otros y, en suma, todas las acciones que se pueden desarrollar cuando hay gente con actitud y aptitud.
wcuestas@open-sec.com




	La seguridad de los sitios web Artículo de Walter Cuestas Una charla más sobre IN-Seguidad Informática y siempre es inevitable tocar el tema de los “defaceos” de web, más aún cuando estoy en Tacna, muy cerca a donde se han originado los últimos ataques de este tipo hacia servidores web del gobierno peruano. La palabra “defaceo” es una derivación de la palabra en Inglés “defacement” que quiere decir quitarle el rostro a algo y corresponde a lo que comúnmente se conoce como “hackeo” de un web (otra palabra derivda del Inglés hacking o hacked, en este caso). Y es que no solamente no solemos llamar a las cosas como son (al menos en este tópico) sino que parece que los servidores web del gobierno peruano siempre resultan un blanco fácil de los atacantes, en esta oportunidad, de los chilenos debido al caso de espionaje más reciente. La verdad de las cosas es que los problemas de seguridad de los cuales se aprovechan los atacantes para cambiar el rostro de estos servidores web existen también muchos otros webs del mundo, pero, no debería aplicarse aquí el famoso dicho “mal de muchos, consuelo de tontos”. El problema real es que tener servidores inseguros permite que la imagen de las organizaciones sea afectada, que el Perú y los peruanos seamos insultados y de forma más tangible, impide que uno de los medios más importantes que debería tener el gobierno para informar a los ciudadanos, sea mal utilizado. En qué consisten los problemas o vulnerabilidades de estos servidores web? Desde hace varios años siguen siendo los mismos: permitir inclusión de archivos en forma remota, permitir la carga de archivos sin controlar el tipo de los mismos, instalar aplicaciones que no validan la información que se ingresa en sus formatos y tener software obsoleto (sin importar si es software comercial o libre). Pero, el problema de fondo es que no se toman en serio la seguridad. Varias instituciones del Estado han contratado servicios de ethical hacking y al menos en los que nos ha tocado participar, se han encontrado problemas en los servidores que permiten hacer defaceos o incluso ataques más serios (como el cross site scripting que permite hacer ataques como el efectuado recientemente al web de la Marina de Guerra del Perú y que mejor explotado permite robar credenciales de aquellos que navegan en estos sitios vulnerables). Que deben hacer las organizaciones para prevenir estos incidentes y mitigar los riesgos que a los que están expuestos ? No es la lista de Papá Noel, es simple y concreto. Someter sus servidores web e infraestructura relacionada a pruebas de ethical hacking. Someter el código fuente de las aplicaciones que interactuan con bases de datos (de cualquier tipo) a revisiones de seguridad del mismo. Colocar proxies reversos en primera instancia como la medida preliminar de protección. Entrenar a su personal en pruebas de seguridad y aseguramiento de los componentes de este tipo de soluciones (sistemas operativos, software de web, bases de datos, programación). Dedicar un equipo de gente técnica a las labores de seguridad de la información y seguridad informática (no es suficiente nombrar un responsable por la seguridad). Seleccionar adecuadamente a los proveedores requiriéndoles personal certificado en temas de seguridad no relacionados a productos (CISSP, CISM, CISA, CEH, GPEN, OSCP, etc.) No se debe caer en el conformismo en estos aspectos porque ocurren cosas como lo que ocurrió con uno de los servidores webs peruanos atacados por chilenos que hasta era noticia en la televisión y el servidor web seguía activo con las mismas vulnerabilidades. Y mientras tanto, que pasa en el país donde se originaron los ataques con respecto a los servidores web de su gobierno ? Sencillamente están más seguros, no invulnerables porque están hechos por humanos y como tales, cometen errores, pero, están más seguros que los nuestros. Aca corresponde una acción conjunta entre clientes, proveedores y especialistas técnicos que no debe ser utilizada con afanes de politiquería sino que nos lleve a cosas similares como las que ha hecho US convocando a especialistas en hacking a través de un reto a nivel nacional y así poder elevar el nivel técnico en su país, el cual ha sido rebasado por países como China. De esta forma, tienen como objetivo definir expertos que puedan apoyar al gobierno, que puedan ser contratados por organizaciones privadas, que puedan entrenar a otros y, en suma, todas las acciones que se pueden desarrollar cuando hay gente con actitud y aptitud. wcuestas@open-sec.com