- Seguridad
- Del mismo autor
-
Las 6 peores ideas sobre seguridad informática (II)
01 Dec 2005 | Juan Alonso
"Penetrar y parchear" es una idea estúpida que se podría expresar perfectamente en el lenguaje de programación BASIC:
10 GOSUB BUSCAR_AGUJEROS 20 IF AGUJERO_ENCONTRADO = FALSE THEN GOTO 50 30 GOSUB CORREGIR_AGUJERO 40 GOTO 10 50 GOSUB AUTOCONGRATULARSE 60 GOSUB SER_HACKEADO_EVENTUALMENTE 70 GOTO 10En otras palabras, atacas tu firewall/software/sitioweb/lo que sea desde fuera, identificas un fallo en él, lo corriges y luego vuelves a buscar. Haciendo esto no mejoras la calidad del código a largo plazo aunque Dirección pueda agradecer la aparente brillantez de dicha estrategia a corto plazo. En otras palabras, el problema con "Penetrar y parchear" es que no hace mejorar la arquitectura de tu código/implementación/sistema; por el contrario lo único que hace es conseguir que sea más duro a base de probar y fallar. El artículo de Richard Fenyman's "Personal Observations on the Reliability of the Space Shuttle" era lectura obligada para todos los ingenieros de software que he contratado. Contenía ideas bien explicadas y profundizaba acerca de las expectaciones sobre dependencia del software y cómo se alcanzaba en sistemas complejos. En resumen, su significado para los programadores es: "Excepto en el caso de que tu sistema esté pensado para ser hackeado no debería ser hackeable."
"Penetrar y Parchear" está por todas partes y es la idea estúpida que lidera la moda actual (activa desde hace cerca de 10 años) de anuncio de vulnerabilidades y actualizaciones a través de parches. Según los "investigadores de vulnerabilidades" están ayudando a la comunidad encontrando agujeros de seguridad en el software y están corrigiéndolos antes de que los hackers los encuentren y los exploten. Según las empresas están haciendo lo correcto publicando lo antes posible parches para adelantarse a los hackers y a sus intentos de explotar dichos agujeros de seguridad. Ambos grupos están comportándose de forma estúpida ya que si las empresas estuvieran escribiendo código que estuviese diseñado para ser seguro y dependiente entonces el trabajo de investigación de vulnerabilidades sería una tarea tediosa y poco gratificante!
Permíteme decirlo de otra forma: si "Penetrar y Parchear" fuera efectivo ya habríamos dejado de encontrar agujeros de seguridad en Internet Explorer a estas alturas. ¿Cómo ha ido? ¿2 o 3 vulnerabilidades al mes durante 10 años? Si nos fijamos en aplicaciones diseñadas para trabajar en Internet podemos ver que hay un número de ellas que contínuamente tienen problemas de seguridad. Y a la vez, también hay un número de aplicaciones bien pensadas desde el principio como Qmail, Postfix, etc que han sido diseñadas de tal forma que el número de bugs que han aparecido para dichas aplicaciones ha sido ínfimo. La misma lógica se aplica a "tests de penetración". Conozco redes que han sido testeadas en busca de agujeros de seguridad y que han sido hackeadas y hechas trizas rutinariamente. Esto ocurre porque su arquitectura (o sus prácticas de seguridad) están tan fundamentalmente equivocado que ninguna cantidad de parches van a mantener a los hackers fuera. Tan solo quitan a Dirección y a los auditores de seguridad de encima de los administradores de redes.
También conozco redes para las que es literalmente inútil hacer tests de penetración ya que han sido diseñadas desde el principio para ser permeables solo en ciertas direcciones y solo para cierto tráfico destinado a unos servidores específicos configurados a propósito y que ejecutan software especialmente seguro. Lanzar tests de penetración para bugs de Apache contra un servidor que corre bajo un código personalizado en C ejecutado en una porción aislada de un sistema embedido es completamente inútil. Por esto, "Penetrar y Parchear" no tiene sentido ya que sabes que o bien vas a encontrar infinidad de bugs o bien sabes que es imposible encontrar nada comprensible.
Un claro síntoma de que tienes un caso de "Penetrar y Parchear" es cuando te das cuenta de que tu sistema es vulnerable al "bug de la semana". Eso quiere decir que te has puesto en una situación en la que cada vez que los hackers inventan un nuevo arma automáticamente eres vulnerable. ¿No suena estúpido? Tu software y tus sistemas deberían ser seguros por diseño y deberían haber sido diseñados para controlar fallos desde el principio.
#4) Hackear es Guay
Una de las mejoras formas de deshacerse de las cucarachas de tu cocina es esparcir migas de pan debajo de las encimeras, ¿verdad? ¡No! Es una idea estúpida. Una de las mejores formas de desalentar el hacking en Internet es darles a los hackers acciones, comprar los libros que escriben sobre exploits, tomar clases sobre "kung fu de hacking extremo" y pagarles decenas de miles de euros para hacer "tests de penetración" contra tus sistemas, ¿verdad? ¡No! "Hackear es guay" es una idea estúpida.
En la época en la que yo estaba aprendiendo a andar, Donn Parker investigó los aspectos de comportamiento de hackear y la seguridad informática. Nadie lo podría decir más claro que él: "La informática a distancia libera a los criminales de su requerimiento histórico de estar próximos a sus crímenes. El anonimato y la libertad de no enfrentarse directamente a su víctima han incrementado emocionalmente las posibilidades de cometer un crimen; por ejemplo, la víctima sólo fue un ordenador inanimado, no una persona real ni una empresa. Las personas tímidas podrían volverse criminales. La proliferación de sistemas y modos de proceder idénticos y la automatización de los negocios hicieron posible e incrementario las economías de automatizar crímenes y construir poderosas herramientas criminales y scripts con gran facilidad."
Oculto en la observación de Parker está el hecho de que hackear es un problema social. No es en absoluto un problema tecnológico. "Las personas tímidas podrían volverse criminales." Internet ha dado un espacio completamente nuevo a las personalidades poco sociables. La cuarta cosa más estúpida que los practicantes de seguridad informática pueden hacer es alentar a los hackers poniéndolos en un pedestal. Los medios de comunicación toman parte directamente en esta macabra idea al mostrar a los hackers como "jóvenes genios" o "brillantes tecnólogos" - por supuesto, si eres un periodista de la CNN, cualquiera que pueda instalar Linux entra dentro de la categoría de "brillante tecnólogo". Me resulta interesante comparar las reacciones de la sociedad hacia los hackers como "jóvenes genios" y contra los spammers como "artistas de baja categoría". En realidad me agrada ver cómo spammers, phishers y otros farsantes están adoptando a los hackers y a sus técnicas ya que de esta manera se invertirá la vista de la sociedad hacia los hackers mejor que de cualquier otra forma.
Si eres un practicante de seguridad, enseñarte a tí mismo cómo hackear forma parte también de la estúpida idea de "Hackear es Guay". Piénsalo: aprender cómo usar un montón de exploits y cómo usarlos significa que estás invirtiendo tiempo en aprender a usar un montón de herramientas y técnicas que van a estar desfasadas tan pronto como todo el mundo se haya protegido contra ese fallo en concreto. Significa que has hecho que una parte de tus conocimientos sean dependientes de "Penetrar y Parchear" y que vas a tener que formar parte de una carrera si no quieres que tus conocimientos queden obsoletos. ¿No sería más lógico aprender cómo diseñar sistemas seguros que estén construídos a prueba de hacks que aprender cómo identificar sistemas de seguridad estúpidos?
Mi predicción es que la idea de que "Hackear es Guay" estará muerta en los próximos 10 años. Me gusta fantasear con la idea de que será reemplazada por la idea opuesta "Una Buena Ingeniería es Guay" pero hasta el momento no tiene visos de ocurrir.
(continuará la semana que viene...)
Traducción autorizada del original ubicado en
www.ranum.com/security/computer_security/editorials/dumb/
- Comentarios
- Publicidad
-
Directamente seria lo mas correcto pero cada vez que cambiamos tecnologia... cambiamos.... cambiamos y cambiamos ?... la verdad es que por costos se debe pasar un periodo en el cual debemos mantenernos "Parchando" Hasta hacer una nueva implementacion desde cero . esto de acuerdo al parrafo.sigui..."
¿No sería más lógico aprender cómo diseñar sistemas seguros que estén construídos a prueba de hacks que aprender cómo identificar sistemas de seguridad estúpidos? "
Opino lo mismo al 100%
Cambiar de materiales para construir casas no cambia el hecho de que si no montas unos buenos cimientos la casa no se caerá. La tecnología es importante pero no debe ser más que un medio y no un fin. Desde ese punto de vista hay formas de hacer las cosas de forma segura que no cambiarán uses el lenguaje de programación que uses o uses el firewall que uses.
El articulo da el clavo. El principal defecto del sistema operativo windows es un mal diseño desde el principio. Al contrario que UNIX y Linux, windows es, en sus origenes, un sistema operativo monousuario y monotarea, que no distingue entre usuario y administrador, que no asigna permisos a las aplicaciones y que no esta pensado para trabajar en red. El sistema se ha parcheado continuamente para corregir estas deficiencias, pero siempre con el lastre de la compatibilidad con las aplicaciones antiguas. Por, ejemplo, un lastre importante del windows XP es que tiene que ser compatible con la API del windows 95/98. Y esta API es muy defectuosa en cuanto a seguridad porque permite a las aplicaciones interactuar entre si sinuna minimas comprobaciones de seguridad.
No es que el sistema operativo windows sea el mas vulnerable porque es el mas extendido, como a menudo dice microsoft, es el mas vulnerable por partir de un mal diseño en principio y parcheado despues hasta la saciedad.
MS windows esta bien para jugar, en donde el usuario requiere compatibilidad con los juegos antiguos, pero como servidor es mas adecuado un sistema de IBM, SUN, o incluso un BSD o Linux.
El articulo es muy interesante e instructivo. De hecho es lectura obligada para cualquier administrador de redes. Lo unico que tiene criticable es el hecho de que apoya el uso de la palabra "hacker" en el sentido de "pirata informatico" cuando se debe aclarar que un hacker no es mas que una persona interesada en la tecnologia de forma profunda y que le gusta investigar e incluso jugar con ella. Por supuesto casi todos los piratas informaticos son hackers, pero no todos los hackers son piratas informaticos. Un ejemplo, Linus Torvalds es un hacker, Richard Stallman tambien y no quiere decir que ellos alguna vez hallan hecho un ataque intrusivo a alguns sitema informatico ni usado sus conocimientos para hacer dano
A mi me daria verguenza que me llamen HACKER, preferiría que se refirieran a mi como tecnológo, profesor universitario u oficial de seguridad, el término en sí determina a los que usan su conocimiento para cometer crímenes informáticos...
Salvo que desarrollemos sistemas operativos siempre tenemos software debajo y es inevitable el "penetrar y parchear", ya que por muy seguro que sea tu software dependes de la capa anterior. La otra opcion seria modificar tu codigo para comprobar todas las interacciones con el sistema operativo,lo que reduciria mucho su eficiencia y emborronaria el codigo
Bahhhhhhhhhhh.......ahora entiendo creo que tengo parte del sistema ese en mi pc, claro de hecho otros lo manejan "Penetrar y parchear", caso MS por ejemplo....todo el tiempo "Actualizaciones criticas" supongo que ellos usan el famoso "Penetrar y parchear" verdad ? si hay alguien que pueda aclararme mi correo es josavd@hotmail.com
10 GOSUB BUSCAR_AGUJEROS
20 IF AGUJERO_ENCONTRADO = FALSE THEN GOTO 50
30 GOSUB CORREGIR_AGUJERO
40 GOTO 10
50 GOSUB AUTOCONGRATULARSE
60 GOSUB SER_HACKEADO_EVENTUALMENTE
70 GOTO 10
Esto no hace nada, faltan las sub rutinas que lo harian, supongo que este artículo está escrito bajo los efectos de alguna droga, de la ignorancia, o de algun sentimiento capitalista (lo que implicaria que el hecho de que internet sea inseguro le beneficiase económicamente al autor) .En el pais de los ciegos el tuerto es el rey, Para evitar que te roben la cartera tienes que saber como lo harian, por que es necesaria la prevención,
El articulo principal dice que es una estupidez el modelo de Penetrar y corregir y que el software debe ser seguro desde el principio.
Que hermoso e IMPOSIBLE pensamiento.
Puede un ser humano imperfecto crear un software Perfecto. NO PUEDE.
Todo software siempre tendrá problemas de seguridad. SIEMPRE.
NO HAY SISTEMA INMUNE A LAS FALLAS DE SEGURIDAD.
Si no las conocemos es por que no se han hecho públicas, pero ahí están.
Los mejores ejemplos son los sistemas vivientes.
¿Hay algún sistema viviente y complejo inmune a los virus y a las bacterias?
NO.
A pesar de miles de años de guerra biológica, la guerra continua.
Los sistemas biológicos también se ven obligados constantemente a parchear.
Y muchas veces pierden. El Sida es un ejemplo claro.
Regresando al software:
Cuando FIREFOX salió lo acogí con gusto, pero de antemano sabía que tendría problemas de seguridad.
Era tan estupido escuchar a tandos supuestos expertos alabando la seguridad de FIREFOX.
Yo mismo he desarrollado vulnerabildades críticas que nadie conoce. Acaso FIREFOX es malo, al contrario es excelente hasta donde los límites humanos lo permiten.
Lo mismo sucede con LINUX y si tienes $20.000 dólares puedes comprar vulnerabilidades en cualquier sistema operativo que no hayan sido corregidas.
Es que acaso ninguno de ustedes ha escuchado del mercado negro de vulnerabilidades.
Sigan soñando y reclamando.
Sigan confiando en el software de su predilección.
Eso es lo que el Hacker malicioso desea.
Sigan durmiendo.
este articulo me parece en parte buena y en un 99.9% mala , porque nos hace el comentario de que instalando linux tú ya eres un genio pero es absurdo .
Acerca la seguridad, Linux se perfila como más completo que Windows por el simple y sencillo motivo que es personalizable; es decir, hecho a medida. El problema es que, inicialmente, tendremos una coladera hasta que alcancemos el nivel de experticio adecuado.
Para un usuario inexperto, y sin mayores conocimientos de Linux, Windows es claramente ventajoso. Y el W2003 ofrece bastante posibilidades, trabajando con ISAS 2004 o ISAS 2006.
Aunque para poder diferenciar correctamente; Windows es el SISTEMA OPERATIVO, en cambio LINUX es el Kernel. Deberíamos comparar WINDOWs con alguna distribución adecuada, como por ejemplo DEBIAN, RED HAT, UBUNTU, MANDRAKE, etc, en alguna de sus versiones. Hasta el momento, de las 365 aprox. que existen no he encontrado alguna más adecuada. Estoy a la espera alguno me pueda sugerir alguna para el tema de seguridad. Y otra para desarrollo. Y otra para Base de Datos.
Al final, de gustos y colores....
El artículo me gustó mucho y tiene mucha razon. Microsoft ha ido creciendo a base de parches y actualizaciones de seguridad, parece muy dificil quitarle el puesto a Microsoft, cada vez menos, creo que en 5 o 10 años como mucho Microsoft ya no será lo que es, tanto por la competencia de Google, Ebay, Yahoo!, etc. Hay muchas marcas que ya empiezan a hacer competencia, tanto con la posesión del escritorio, como sistema operativo, una cuestion que siempre me hago es ¿Por qué actualmente sigue siendo Windows el sistema operativo más utilizado? ¿Por qué usar un Software que sabemos que está mal hecho desde los principios, simplemente avanzando para ganar dinero y no perder posicion en el mercado (aunque sea robando la idea de otra empresa)? ¿Por qué no se utiliza mucho más en el hogar Linux? Linux ya no es como antes, solo bash y codigos, ahora ya tiene entorno gráfico, utilidades muy funcionales y si hablamos de lo mejor de linux, es sin lugar a dudas, que no se cuelgue, que no tenga aparentemente fallos (que los tiene pero no son como los de windows de reiniciar), que no tenga virus (si tiene pero no son como los windows ni de coña), gastas mucho menos dinero, ya que las aplicaciones más utilizadas son gratuitas y de copyleft. Personalmente pienso que las personas siguen utilizando Windows porque es el sistema que está integrado y siempre que piensas cambiar ¿Para qué estar molestandome si con windows escapo?, piensas que Linux u otro cualquier sistema operativo no puede enviar emails, chatear, ver fotos, imagenes, cualquier cosa que puedes hacer con windows encima con Linux te aseguras tanto que no entre nadie en tu ordenador, con los permisos y demas. Ahora hay muchas empresas que desarrollan Linux o Unix que hacen cada dia más facil su uso con nuevas herramientas, en codigo abierto y a veces gratis (y si cobran, no tiene comparacion con los precios de Microsoft), asi que si a alguien se le cuelga el ordenador, que no se esté quejando, o si le entra un virus y borra todo el trabajo de meses o simplemente que quieras hacer algo como por ejemplo abrir un misero directorio y que no se te cuelge...CTRL+ALT+SUPR...famosa combinacion de teclas xD.
En resumen deberiamos cambiarnos a Linux, tanto por la economia, por la movilidad, facilidad (aqui es el unico campo que todavia Microsoft nos gana, pero por poco tiempo), apariencia, libertad!! y por si fuera poco SEGURIDAD...bueno lo dicho, VIVA LINUX Y LA MADRE QUE LO...Saludos de un LinuXero
Si diseñara un programa con la flexibilidad tan extrema que al configurarlo o personalizarlo pudiera hacer todo lo que quisiese, estaria pensando que ese programa desde el comienzo es inseguro.
muy bueno el articulo
Hola:
No estoy de acuerdo con la crítica sin paliativos que se hace en el artículo al "penetrar y parchear". Como ya ha dicho alguien por aquí, siempre hay fallos de seguridad. Conviene emplear la técnica del "pentrar y parchear" como procedimiento indeseable pero necesario, y por supuesto, apoyado en el mejor diseño de base que podamos implementar.
Un saludo,
Pedro.
solo para aclarar, no es un hacker el pirata informatico, los crackers son los q se dedican a infiltrarse en los sistemas, los hackers son los que trabajan con la tecnologia, codigo abierto, etc.. los crackers son los que se dedican a hacer ataques intrusivos
miren no hagan esto simplemente comprensen una buena pc trabajen y tengan hijos en vez de andar pensando en meterse a las pc de los demas maricas.
esta es mi direccion de ip si me quieren robar pero aunque no podran gays 199.51.185.50
pdt.cada que studioo mas creo que se menos
I'm not easily impressed. . . but that's ipmrsesing me! :)
This could not possibly have been more hlefupl!