Robert “RSnake” Hansen es un conocido experto en seguridad digital que es director ejecutivo y/o fundador de varias empresas exitosas, incluidas Outside Intel y Smart Phone Exec. También forma parte de la junta directiva de algunas empresas de tecnología interesantes, incluidas Data World y FunCaptcha.
tuvo la oportunidad de pedirle que le brindara una descripción general y algunas de las mejores prácticas para mantener segura su presencia digital.
Con el desarrollo de la Web en 1991-1992, fuimos testigos de un cambio en la forma de acceder a Internet. Los navegadores introdujeron nuevos problemas de seguridad. ¿Cuándo ocurrió la primera violación significativa de la web y cómo se hizo?
RSerpiente: Es muy difícil decir cuál fue el más significativo, pero probablemente el más conocido fue cuando el gusano Samy MySpace tomó el control y derribó MySpace. Fue tan prolífico que sus servidores simplemente no pudieron manejarlo. Su creador sabía que sería exponencial pero acabó acaparando más de un millón de usuarios activos. Usó un exploit simple y conocido llamado Cross Site Scripting. Siempre habíamos teorizado que podría ser tan malo como él lo hizo, pero creo que eso realmente abrió los ojos de la gente y puso mucho más escrutinio en los navegadores.
Desde una perspectiva de seguridad, ¿cuál sería su cronograma para las infracciones significativas versus las reacciones y el desarrollo de programas para abordar los problemas crecientes?
RSerpiente: En términos generales, el cronograma depende de si el adversario es ruidoso o no. Si el adversario simplemente extrae datos de una base de datos, pueden pasar semanas, meses o incluso años antes de que alguien se dé cuenta. Casi siempre se llega a notar, normalmente cuando los datos se revenden en el mercado clandestino. Pero cuando eso sucede, normalmente es una carrera para adelantarse desde una perspectiva de relaciones públicas. Por lo general, implica la coordinación legal, policial, de desarrollo/operaciones y relaciones públicas.
¿Cuándo se desarrolló el primer firewall y qué tan buenos son los actuales?
RSerpiente: Los cortafuegos existen desde hace más de dos décadas. El propósito original de ellos era aislar la red. Poco a poco, esto se ha vuelto cada vez menos de moda porque las redes modernas son muy permeables. Jeremiah Grossman y yo inventamos el ataque en el que se podía utilizar un navegador para piratear dispositivos internos, que sigue sin solucionarse hasta el día de hoy.
Otro ejemplo es que casi todo se puede tunelizar a través de HTTP/HTTPS. Entonces, si puedes hacer un túnel TCP a través de HTTP, básicamente puedes hacer cualquier cosa. Lo que realmente parece hacer en la mayoría de las empresas hoy en día es aislar grupos de máquinas que tienen una funcionalidad similar. Entonces su DMZ estará llena de máquinas de producción. Las computadoras de su equipo de recursos humanos están aisladas del resto de la empresa, y así sucesivamente.
¿Qué medidas de seguridad recomiendas para los negocios online?
RSerpiente: Depende de cuán draconianos quieran llegar a ser. Las herramientas que mejor funcionan son las más draconianas. Por ejemplo, la inclusión de aplicaciones en la lista blanca es una barrera muy fuerte contra las infecciones de malware, pero significa que las personas tampoco pueden instalar nada nuevo.
Entonces, como término medio, lo que me gusta decirle a la gente es: “Siempre asuma que cualquier máquina se verá comprometida y luego proponga otro control de seguridad para protegerse contra esa eventualidad”. Por ejemplo, digamos que desea evitar que alguien comprometa un servidor web. Tal vez podría comenzar con algo que limite la capacidad del servidor para escribir en el disco desde una perspectiva de software. Bueno, si se implementa ese control pero luego hay una vulnerabilidad, debería haber alguna otra cosa que lo proteja.
Entonces, ¿qué pasaría si utilizara algo como un monitor de integridad de archivos encima para validar que no se realizaron cambios en el sistema de archivos en ningún momento?
RSerpiente: Eso proporcionaría un buen remedio si ese primer control fallara. Nada es perfecto, pero si trata cada control como solo una pieza del rompecabezas general en lugar de ser la totalidad de sus controles de seguridad, estará mucho más seguro. Sin embargo, si desea una lista real de controles, me temo que tomaría días redactarla. Sí, es así de complicado (hacerlo correctamente). Pero existen organizaciones como OWASP y WASC que ayudan a las empresas a comprender el panorama de amenazas; ambas son excelentes referencias para comenzar.
¿Existen diferentes niveles de seguridad para diferentes tipos de sitios web?
RSerpiente: Absolutamente. Si no le importa si un sitio deja de funcionar o es pirateado (digamos que es un sitio afiliado reducido o algo así), ¿por qué molestarse en invertir una gran cantidad en protegerlo? O si sabe que necesita proteger un sitio afiliado reducido, conviértalo todo en contenido estático, para que no haya vías de ataque a través de la interfaz web. Eso limita a un adversario a ataques de red, basados en host o de ingeniería social. Todo depende.
¿Qué tan efectivos son los certificados SSL? De los tres tipos principales de SSL (OV, DV, EV), ¿qué tipo de sitios deberían utilizar qué tipo de certificado?
RSerpiente:. Ha habido docenas de ataques de canales laterales contra SSL/TLS a lo largo de los años…. Dicho esto, el beneficio real de SSL/TLS es que limita principalmente lo que un atacante puede ver e inyectar en el flujo de datos.
Entonces, por ejemplo, los ISP maliciosos no pueden inyectar anuncios publicitarios cuando las personas se conectan a su sitio web si usa HTTPS, por lo que pueden proteger su flujo de ingresos. También limita lo que un atacante promedio puede ver. Pueden decirle a qué sitio va, cuánto tiempo permanece en él y podrían obtener algunas de las páginas a las que visitó (la página de inicio y la última página que visitó antes de hacer clic en un enlace a otro sitio web), pero probablemente no puedan leer el texto real de la mayoría de las páginas. Entonces, para cosas como cuentas bancarias o sitios de redes sociales, SSL/TLS es muy útil.
Al final, tiene más sentido en sitios donde la confianza es un factor importante en el uso de un sitio por parte de las personas y, por lo tanto, la barra verde en la parte superior podría ayudar con las conversiones.
Busque un certificado que pueda configurarse fácilmente para que se renueve automáticamente, lo que reduce drásticamente los gastos generales y la posibilidad de interrupciones involuntarias. Pase lo que pase, recomendaría usar SSLLabs para asegurarse de que su configuración sea segura una vez que el certificado esté implementado.
¿Qué consejo le daría a los usuarios de varios sitios web para mantener su información lo más segura posible?
RSerpiente: No les proporcione más datos de los necesarios; si no tiene que utilizar su nombre real, su dirección real y su dirección de correo electrónico principal, no lo haga. Nunca utilices la misma contraseña: es peligrosa y, a menudo, es la forma en que los atacantes acceden a otros sitios. Utilice autenticación de segundo factor, como pines basados en SMS o seguridad Duo o Google Authenticator, que ayuda con la reutilización de contraseñas y reduce en gran medida el riesgo de ataques de fuerza bruta.
Utilice un bloqueador de publicidad, porque eso limita en gran medida las cosas malas que puede hacer. Recomiendo utilizar el software gratuito Sandboxie para usuarios de Windows, que limita lo que puede hacer el malware una vez que infecta su máquina. Para Mac, existe un software llamado Little Snitch que le avisa cuando su máquina está realizando llamadas salientes erróneas. Hay muchos más trucos que pueden limitar la exposición, pero ese es un gran comienzo.
¿Qué opinas de las opciones de CMS que se utilizan para la creación de sitios web hoy en día? ¿Son más seguros que los sitios creados con HTML estático?
RSerpiente: Los CMS nunca serán tan seguros como los sitios web estáticos, pero ese es un riesgo que la mayoría de las empresas están dispuestas a afrontar. Es una compensación costo/beneficio. La modificación manual de archivos HTML es algo en lo que la mayoría de las empresas simplemente no quieren involucrarse. Especialmente cuando cuentas con grandes proveedores que pueden hacer toda la administración y aplicar parches por ti.
¿Por qué molestarse con el mantenimiento y el aprendizaje de HTML/CSS cuando puedes aprovechar el arduo trabajo de otros? Es cierto que esto tiene un costo de flexibilidad y seguridad, pero la mayoría de las veces, vale la pena para las empresas. Esta es la razón por la que WordPress, por ejemplo, constituye una parte importante de toda la web.
Si uso WordPress, ¿qué complementos de seguridad me recomiendan? ¿Y qué tan importante es actualizar tus versiones de WordPress y PHP?
RSerpiente: Hay un complemento de encabezados de seguridad que permite a los usuarios activar varios encabezados HTTP de seguridad diferentes, como X-Frame-Options, Strict-Transport-Security, Content-Security-Policy, etc. Eso mejora drásticamente la seguridad de un sitio sin mucho esfuerzo. También me gusta el complemento Google Authenticator que agrega autenticación de segundo factor a la consola de administración de blogs.
Y, por supuesto, FunCAPTCHA, porque deshacerse de los robots de spam/malware es clave. En cuanto a las cosas externas, Securi ha logrado tantos avances en los últimos años que sería negligente si no las mencionara.
Recomiendo encarecidamente actualizar su sitio con la mayor regularidad posible. No ha habido un buen exploit en el núcleo de WordPress o PHP desde hace bastante tiempo, pero regularmente hay exploits en los complementos. Por lo tanto, mantener la cantidad de complementos al mínimo y asegurarse de que estén actualizados es clave.
¿Crees que la web es más segura hoy que antes? ¿Existe alguna nueva tecnología en desarrollo que ayude a que la Web sea más segura?
RSerpiente: Sin duda, la Web es mucho menos segura hoy que hace años, pero eso se debe enteramente al crecimiento explosivo de la complejidad. Creo que parte del problema de los sitios modernos es que son muy frágiles y dependen de muchas dependencias externas.
Si puede limitar esas dependencias al mínimo, habrá aumentado mucho su seguridad, de forma similar a cómo el HTML estático es más fácil de proteger que algo que recibe y almacena datos. Esa complejidad adicional es lo que hace que las cosas sean mucho menos seguras y mucho más difíciles de construir modelos de amenazas. Todo el tiempo hay nueva tecnología que hace que las cosas sean más seguras.
Por ejemplo, 3ºempresas de procesamiento de tarjetas de crédito independientes como PayPal y Stripe, o de segundo factor autenticación, o firewalls de aplicaciones web, etc. Creo que todo esto mueve la aguja, pero tan rápido como parece que encontramos alguna solución, verás a los desarrolladores trabajando en torno a cualquier cosa que perciban que está obstaculizando su progreso. Por tanto, es en gran medida un juego del gato y el ratón.
Verificar . ¡Tenemos uno para cada sitio web y cada presupuesto!
Facebook Comments
Disqus