jueves, 29 de octubre de 2009

la ola de google

Todos llevamos algún tiempo oyendo hablar de Google Wave, la última innovación de Google para darnos a todos más capacidad de comunicación y de subir contenido a la red. De momento, está en fase beta y sólo accesible con invitación, pero ya ha dado mucho de qué hablar (aquí dos enlaces: alt1040 y El País).

Como es de ley, ya se le ha empezado a sacar problemas de seguridad. En TheHarmonyGuy nos cuentan que su autor ha probado Beef en Google Wave, con éxito, lo que podría convertirlo en una buena herramienta para hax0rs.

Slds
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en No hay comentarios:
Etiquetas: , , , ,

lunes, 19 de octubre de 2009

Estadísticas de WASC

Hace unos días WASC publicaba los resultados de la nueva edición de su proyecto Web Application Security Statistics. Este proyecto tiene como objetivos identificar las vulnerabilidades web más comunes en aplicaciones realizadas a medida, así como comparar cuál es el mejor método para detectarlas (pruebas automáticas, pruebas de caja negra, o pruebas de caja blanca).

Se basa en la información recopilada en auditorías de seguridad y tests de intrusión realizados por un conjunto de empresas, listadas en los resultados del informe, y que comprenden un total de 12186 aplicaciones revisadas con un total de 97554 vulnerabilidades descubiertas en ellas. Sus resultados son los siguientes:
  • El 13% de los sitios web analizados puede ser comprometido de forma automática
  • El 49% de los sitios web analizados contienen vulnerabilidades de carácter grave o crítico que pueden ser detectadas mediante pruebas automáticas, aumentando esta cifra al 80% cuando se realizan pruebas exhaustivas (pruebas automáticas y manuales con conocimiento previo del aplicativo, revisión de código, etc).
  • Los problemas más extendidos son XSS, revelado de información, inyección SQL y HTTP Response Splitting.
  • Es un 20% más probable que un agujero de seguridad sea debido a un problema de administración del sitio web, que a un fallo introducido por un diseño o codificación inadecuados
  • El 99% de las aplicaciones no cumplen con los requisitos de PCI-DSS para aplicaciones de web
  • Las pruebas de caja blanca permiten detectar hasta 91 vulnerabilidades por aplicación de web, y sólo podrían detectarse 3 mediante pruebas automáticas sin ningún tipo de conocimiento previo acerca del aplicativo.
Según nos cuentan, comparando estos resultados con los de 2007, el número de sitios con problemas de XSS y de inyección SQL ha caído un 13% y un 20% respectivamente, aumentando el número de sitios que revelaban información confidencial un 24%. Además, la probabilidad de comprometer un sitio web de forma automatizada ha pasado del 7% al 13%.

Tener estas estadísticas a mano siempre es muy útil, hay que felicitar a quien hace estas estadísticas por su esfuerzo. Permiten saber, por ejemplo, como de buenas son las herramientas utilizadas para hacer los análisis automáticos (son todas comerciales, por supuesto), ya sea con conocimiento previo del aplicativo o sin él. Sin embargo, a mí me gustaría que se detallara un poco el tipo de aplicativo analizado, porque creo que es también relevante saber qué se encuentra dónde. O con qué tecnología están desarrollados (PHP, Java, .Net, Colfusion…).

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 8 de octubre de 2009

El desarrollador educa también al usuario

Seguramente es una de las noticias más comentadas de los últimos días: el leak masivo de contraseñas de usuarios de correo electrónico. Primero fue Hotmail, advirtiendo Microsoft que la causa no tiene que ver con infiltraciones en sus sistemas, sino con un phishing de tomo y lomo. Después, se ha confirmado que Gmail, Yahoo o AOL han tenido el mismo problema (dos enlaces).

Este ataque de phishing, además de exponer el poco sentido común que tiene la mayoría de los mortales en Internet, también saca (como ya sabíamos) el poco cuidado que tiene la gente con sus contraseñas en todos los sitios de Internet, como puede verse en el análisis de las passwords encontradas realizado por Bogdan Calin en el blog de Acunetix, que deja claro que las contraseñas más utilizadas son bien sencillas: 123456, por poner un ejemplo.

Por ello, expertos de renombre mundial, nos vuelven a recordar que las contraseñas utilizadas por los usuarios no pueden ser demasiado complejas, porque si hay que poner una diferente en cada sitio (como medida de seguridad), pues van a acabar olvidando, así que podría ser mejor tener passwords complejas para los sitios más importantes, llevando las más necesarias escritas en un papel en la cartera.

A mí, que soy un pelo desconfiado para estas cosas, no me parece muy buena idea, la verdad, y prefiero aplicaciones como Keepass para guardar mis passwords y además cambiarlas periódicamente. Llevarlas en papel en la cartera me parece igual que llevar el número PIN de tu tarjeta de crédito en el mismo sitio.

Por otra parte, no creo que la solución pase únicamente por protestar continuamente de la poca educación en seguridad informática que tiene el usuario, e intentar educarlo, sino también en obligarle a que se eduque a sí mismo cuando utilice las aplicaciones web que desarrollamos. Así, si ve en todas las aplicaciones que utiliza que se le indica la fortaleza de su contraseña, quizás se pregunte por qué. Y si se le obliga a que tenga un nivel mínimo, pues más todavía. Cada desarrollador puede aportar su granito de arena, aportando a su aplicación todas las medidas de seguridad que pueda en tema de passwords, ya no sólo en beneficio de la seguridad de su desarrollo, sino en beneficio del usuario. En definitiva: enseñar con el ejemplo.

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en 2 comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)