El dolor de cabeza de todo webmaster. Un sitio hackeable. Supongo que todos ahora recordarán lo que sucedió en los sitios web venezolanos hace unos días, cuando un chiquillo demostró que era posible crackear 22 sitios utilizando la misma vulnerabilidad.
Un estudio indica que:
De 3.200 sitios investigados, el 70% demostró ser vulnerable en mediano y alto grado. Muchas de las vulnerabilidades están asociadas a SQL y Cross Site Scripting (que no es más que usar variables dentro de un URL, para forzar una acción). Algunas de las web tenían hasta 60 o más vulnerabilidades, siendo el mayor número, 66 detectadas.
Más [ InformationWeek: Study: 70% Of Web Sites Are Hackable ]
.comentarios
Saludos,
Esto es mentira. Estás mezclando dos cosas que no tienen mucha relación. Si bien estos sitios web Venezolanos tenían una vulnerabilidad en común eso no sigifica que por una muestra de 3.200 sitios consultados el %70 de los sitios sea vulnerable.
De hecho en Slashdot, salio otro experto ofreciendo $1000 a quien le pruebe que esto es verdad:
http://www.networkworld.com/community/?q=node/11477
¿Alguien se quiere ganar $1000? :)
–José
Saludos.
Según lo que recuerdo de estadística no hay que hacerse un estudio de todos los sitios web para tener un acierto en el resultado. Se llama muestra y se supone que refleja una población determinada.
Sí. Tan sólo 3700 sitios web me parece una relación muestra/población bastante dispar. No creo que todos los sitios web sean vulnerables tan críticamente. Pero sí creo que la cifra del 70% no es excesivamente descabellada y doy mi razón:
Muchos sitios web utilizan plataformas, lenguajes y programas. Si ellos son vulnerables, entonces, el sitio web es vulnerable. Hay vulnerabilidades descritas para SQL, Apache y PHP. Así que sitios basados en estas tecnologías -si el término para describirlas aplica, son inseguros per se. Lo mismo aplica para CGI, IIS, etc. Los sistemas operativos de los servidores….
Están también las vulnerabilidades por inyección de código, cross scripting, etc, que aprovechan las plataformas y los lenguajes de programación. Una vulnerabilidad que no toca el estudio, por lo que pude ver, es la facilidad a ser víctima del phishing. El no utilizar encriptación de datos y conexiones seguras, también lo convierte en vulnerable. La pérdida de información, será directamente por la víctima del robo, pero finalmente el sitio web que ofrece el servicio debe ser proactivo en mejorar ese aspecto y evitar ser puente para este tipo de acciones ílicitas.
Hay dos aseveraciones que son muy ciertas 1. “ningún sistema es infalible al 100%” y 2. “sólo hace falta una vulnerabilidad para hacer a un sistema inseguro”. En los sitios web que fueron hackeados en Venezuela, se utilizó la misma vulnerabilidad para todos los sitios, simplemente porque todos estaban hechos sobre la misma “plantilla”, plataforma o tecnología. Así que no hacía falta que tuviesen mil vulnerabilidades. Tan sólo una hizo falta y fue explotada exitosamente.
Lo mismo sucedió en las páginas gubernamentales Mexicanas hace no más de un mes.
Actualización:
Leyendo el artículo que mencionas, supongo que el error de Acunetix ha sido liberar un estudio y permitir que su divulgación se vuelva un boom sensacionalista. Realmente yo no creo que sea un estudio para aterrar. Al menos a mí no me aterra y no veo en él una intención de venderme un producto de seguridad. Por el contrario, me parece más que razonable que se obligue a los creadores de códigos a ser más responsables y no habría forma de hacerlo, si no existiesen estudios que sustentaran razonablemente los fallos.He aquí el error de Acunetix a mi parecer al ser tan sensacionalista. Permitir que alguien piense que es un asunto apocalíptico. Porque no lo es. Durante años hemos vivido con redes y sistemas inseguros y la tecnología ha ido evolucionando así como la conciencia de sus creadores en materia de seguridad.
…My 14-year-old niece is registered at (name deleted to protect the uninvolved). Can they get her profile information? Yeah, maybe. Is that an issue? Yeah, it’s an issue. Is that a critical, inflammatory, 70%, the-world-is-coming-to-an-end issue? No, it’s not.”
Saludos,
Al contrario, el estudio original parece ser un intento valurdo para promover servicios de seguridad (¿como estar en el negocio si no hay problemas?). Incluso podría decirse que el informe es hasta redundante ya que no han dicho nada que no se haya dicho con anterioridad en otro lado.
Si te fijas bien, en ningún momento dije que hay software infalible, ni que haga falta más de una vulnerabilidad para poder tumbar un sitio web, todo eso lo has extrapolado tu.
En cuanto a que la tecnología de seguridad ha evolucionado, eso es otra mentira más: Hoy en día el software es más complejo, con ciclos de desarrollo más cortos para ganar un mercado, con mono culturas (por ejemplo Windows en todos lados los cuales facilitan ciertos ataques tipo “plantilla”). El problema está peor que nunca, le hecho de tu blog exista es una prueba de ello o de lo contrario estarias escribiendo sobre otras cosas :)
Saludos.
Obviamente Acunetix intenta vender un producto. Pero también muestra una realidad. Yo, más que ver la venta de cualquier producto, creo que es una realidad latente. Simplemente nadie quiere aceptarla.
Lo que yo extrapolo, no deja de ser cierto. Y no deja de tener fundamento: Tu mencionas que el estudio es mentira. Así no más. Porque a alguien le pareció que el estudio es sencacionalista y se atreve a apostar $1000 a que es falso. Yo en vez, coloco lo poco que se sobre vulnerabilidades y que por tanto, me da pie a pensar que el estudio no deja de ser cierto y aunque finalmente no lo sea, sigue pareciendome importante y necesario.
La tecnología de seguridad ha evolucionado. De no haberlo hecho, no podrías tampoco decirme que Linux es más seguro que Windows. Uno de los problemas a los que se enfrenta el software actual, es el que mencionas y otro es el negocio del crimen en la red. Es una industria que crece a mayor velocidad que el software y tiene la ventaja de que no debe detenerse a mirar estándares, normas y patentes estipuladas.
Sí, el problema no puede estar peor ahora y seguro se pondrá peor luego si los desarrolladores de software legal no ponen más empeño. Bolsanegra no podrá inculcarle eso directamente a los programadores. Más sí, puede enseñar a los usuarios sobre como protegerse al conocer los riesgos a los que están expuestos.
Gran parte de la seguridad, recae en el usuario. Más de la que muchos piensan. Y cuando eso se aprecie así, espero que se fuerce a la industria legal a que realice mejores esfuerzos.
