Hace tiempo leí los comentarios de un gerente de una empresa de TI en el sentido de que existe una cultura de la seguridad informática prácticamente nula, opinión con la que estoy totalmente de acuerdo.
Es en las instituciones de educación superior que cuentan con carreras relacionadas con las TI donde se ha puesto un mayor empeño por abordar este tema, en la UNAM existen los seminarios GASU, el diplomado de seguridad en cómputo, los días de la seguridad en cómputo y algunos otros eventos para promover este cultura entre los futuros administradores de redes y sistemas.
Por su parte el ITESM comienza a impartir cursos referentes la seguridad informática, algunos sólo a manera de materias optativasy también en sus diplomados y maestrías relacionadas. En la BUAP se llevó a cabo hace un par de años un seminario sobre criptografía y desde hace 4 años se lleva a cabo un evento especializado en software libre y seguridad en cómputo. Y como éstos, múltiples foros orientados originalmente para sofware libre han adopado también temáticas sobre seguridad en cómputo.
Pese a esta insistencia en seguridad se detectan con frecuencia sitios web con alto grado de vulnerabilidad a ataques hackers, durante un rato de ocio en la semana me dediqué a verificar como estaba eso de la seguridad en algunos servidores de portales de noticias y entretenimiento poblanos.
Aclaro que estos resultados de ninguna manera son concluyentes puesto que solamente realicé el procedimiento de escaneo con un algoritmo, por lo que es altamente probable que los resultados aquí expuestos difieran de la realidad.
Los resultados me dejaron un poco sorprendido pues aparecen demasiados servicios abiertos y sobre todo por la facilidad en que los servidores me brindaron la información. Hubo ortos, por ejemplo el sitio del Gobierno del Estado de Puebla, que se resistió a darme informción de ninguna clase, el resto dio su brazo a torcer. Las estadísticas son las siguientes:
angelopolis.com 20
pipopes.com.mx 7
depuebla.com.mx 9
tvaztecapuebla.com.mx 16
puebla.net.mx 8
quechulaespuebla.com 17
puebla.gob.mx 0
puebladelosangeles.gob.mx 10
intolerancia.com.mx 12
e-consulta.com.mx 13
oem.com.mx 7
De lo anterior se ve que el 45.5% de los sitios encuestados tienen abiertos más de 10 puertos, mientras que el otro 54.5% tienen menos de 10 lo que nos habla de una política de "puertos abiertos" en la que los servidores son plurifuncionales, lo cual rompe la regla de la descentralización de los servicios y aquella vieja máxima que dice que se deben cerrar todos aquellos servicios que no se utilicen, o bien, que los administradores están de vacaciones.
Respecto a los servicios ofrecidos, se concluyó que el 100% de los sitios encuestados tienen abiertos los puertos 21 y 80 (obviamente), 135, 139 y 445. Por otro lado, solamente el 37.5% de los sitios utiliza alguna forma de comunicación cifrada, llámese SSH o HTTPS. Ese mismo porcentaje usa una base de datos de tipo MySQL con el socket de Internet abierto, lo cual es potencialmente peligroso. El 62.5% de los sitios parece emplear autenticación por medio de LDAP o al menos tener instalado el servicio. La mayoría de los servidores parecen comparir sus sistemas de archivos mediante SMB y utilizan NetBIOS.
Como se ve por estos resultados, la problemática no debería ser grande si es que los adminisradores cuentan con un entrenamiento adecuado. Por otro lado, se recomienda que se sustituyan los protocolos como ftp y telnet por sftp y ssh. Otra conclusión sería que aquellos que usan MySQL y SAMBA (si tienen Linux) configuren adecuadamente sus servidores a fin de exponer lo menos posible a sus sistemas ya que como dicen por ahí: en arca abierta, hasta el más justo peca.
En este punto, muchos podrán pensar que comprando una suite de seguridad podría resolver sus problemas, idea que no comparto por cierto. Me parece más inteligente el entrenar adecuadamente al staff de sistemas en procedimientos de seguridad y de ser posible, asignar a alguien dedicado completamente a revisar integridad de datos y todo eso.
Finalmente, mencionaré que la herramienta con la que hice los escaneos es un nmap versión 3.0 sin acualizar, eso en caso de que alguien quiera comprobar lo que escribo.
(Publicado el 18 de agosto de 2003)
Es en las instituciones de educación superior que cuentan con carreras relacionadas con las TI donde se ha puesto un mayor empeño por abordar este tema, en la UNAM existen los seminarios GASU, el diplomado de seguridad en cómputo, los días de la seguridad en cómputo y algunos otros eventos para promover este cultura entre los futuros administradores de redes y sistemas.
Por su parte el ITESM comienza a impartir cursos referentes la seguridad informática, algunos sólo a manera de materias optativasy también en sus diplomados y maestrías relacionadas. En la BUAP se llevó a cabo hace un par de años un seminario sobre criptografía y desde hace 4 años se lleva a cabo un evento especializado en software libre y seguridad en cómputo. Y como éstos, múltiples foros orientados originalmente para sofware libre han adopado también temáticas sobre seguridad en cómputo.
Pese a esta insistencia en seguridad se detectan con frecuencia sitios web con alto grado de vulnerabilidad a ataques hackers, durante un rato de ocio en la semana me dediqué a verificar como estaba eso de la seguridad en algunos servidores de portales de noticias y entretenimiento poblanos.
Aclaro que estos resultados de ninguna manera son concluyentes puesto que solamente realicé el procedimiento de escaneo con un algoritmo, por lo que es altamente probable que los resultados aquí expuestos difieran de la realidad.
Los resultados me dejaron un poco sorprendido pues aparecen demasiados servicios abiertos y sobre todo por la facilidad en que los servidores me brindaron la información. Hubo ortos, por ejemplo el sitio del Gobierno del Estado de Puebla, que se resistió a darme informción de ninguna clase, el resto dio su brazo a torcer. Las estadísticas son las siguientes:
angelopolis.com 20
pipopes.com.mx 7
depuebla.com.mx 9
tvaztecapuebla.com.mx 16
puebla.net.mx 8
quechulaespuebla.com 17
puebla.gob.mx 0
puebladelosangeles.gob.mx 10
intolerancia.com.mx 12
e-consulta.com.mx 13
oem.com.mx 7
De lo anterior se ve que el 45.5% de los sitios encuestados tienen abiertos más de 10 puertos, mientras que el otro 54.5% tienen menos de 10 lo que nos habla de una política de "puertos abiertos" en la que los servidores son plurifuncionales, lo cual rompe la regla de la descentralización de los servicios y aquella vieja máxima que dice que se deben cerrar todos aquellos servicios que no se utilicen, o bien, que los administradores están de vacaciones.
Respecto a los servicios ofrecidos, se concluyó que el 100% de los sitios encuestados tienen abiertos los puertos 21 y 80 (obviamente), 135, 139 y 445. Por otro lado, solamente el 37.5% de los sitios utiliza alguna forma de comunicación cifrada, llámese SSH o HTTPS. Ese mismo porcentaje usa una base de datos de tipo MySQL con el socket de Internet abierto, lo cual es potencialmente peligroso. El 62.5% de los sitios parece emplear autenticación por medio de LDAP o al menos tener instalado el servicio. La mayoría de los servidores parecen comparir sus sistemas de archivos mediante SMB y utilizan NetBIOS.
Como se ve por estos resultados, la problemática no debería ser grande si es que los adminisradores cuentan con un entrenamiento adecuado. Por otro lado, se recomienda que se sustituyan los protocolos como ftp y telnet por sftp y ssh. Otra conclusión sería que aquellos que usan MySQL y SAMBA (si tienen Linux) configuren adecuadamente sus servidores a fin de exponer lo menos posible a sus sistemas ya que como dicen por ahí: en arca abierta, hasta el más justo peca.
En este punto, muchos podrán pensar que comprando una suite de seguridad podría resolver sus problemas, idea que no comparto por cierto. Me parece más inteligente el entrenar adecuadamente al staff de sistemas en procedimientos de seguridad y de ser posible, asignar a alguien dedicado completamente a revisar integridad de datos y todo eso.
Finalmente, mencionaré que la herramienta con la que hice los escaneos es un nmap versión 3.0 sin acualizar, eso en caso de que alguien quiera comprobar lo que escribo.
(Publicado el 18 de agosto de 2003)
