Barrapunto

Con peligro de iniciar un hilo apocalíptico que termine con -1´s varios, digo de antemano que esto sólo es una opinión y el que la crea bien, y el que no, también bien, no vengo a convencer a nadie.

He estado leyendo todo el hilo y en algo tengo que darte la razón, los hackers de película no existen, principalmente porque las películas sobre hackers son bastante irreales. Ahora, que no existan los hackers de película no quiere decir que no existan intrusiones informáticas, con mayor o menos consecuencia, tanto para los administradores, como para los atacantes, las hagan "hackers" o "amas de casa aburridas".

A modo de ejemplo, decir que ( y es algo que no voy a discutir, ni a ampliar ) cobro mis habichuelas de una consultora de seguridad, a la vez que me entretiene el mundo de la inseguridad. En estos últimos 5 años bien sea por motivos profesionales, bien sea por aficción personal puedo garantizar una cosa: los sistemas vulnerados tienden a estar mal administrados. De hecho, te puedo asegurar que los sistemas administrados correctamente son vulnerados con mucha menor frecuencia. Y esto es así sean bancos, ISP´s, universidades o agencias espaciales. No te digo ni que sea tu caso, ni que sea lo más común que el sistema esté mal administrado. Pero atacar y comprometer un sólo sistema es el primer paso para lanzar un ataque desde dentro de la red, o al menos desde la DMZ. Por eso, la seguridad de un conjunto es igual a la seguridad del más debil de sus elementos ( y no es sólo una frase muy bonita, sino que tiene mucho sentido ).

Después, decirte que en atacar un sistema tampoco hay nada de mágico. Simplemente cambian las formas de saltar la primera capa de seguridad, que paradójicamente suele ser la más protegida ( la seguridad interior siempre suele estar descuidada ). Antes había password por defecto, después buffers overflows hasta en la sopa, y ahora aplicaciones web mal programadas. No tiene nada de mágico encontrar un fallo en una aplicación web, de hecho es más sencillo que realizar un ataque aprovechando un desbordamiento de buffer. Pero lo que no es menos cierto es que encontrar un fallo en una aplicación web nunca debería suponer comprometer toda la seguridad de una red. Sin embargo la realidad es esa: servidores web mal configurados, kernels no parcheados, permisos de lectura para todos los usuarios en muchos ficheros, archivos con contraseñas en texto plano, cgi´s que conectan a servidores SQL con privilegios excesivos y una larga lista de "fallos administrativos" que hacen que de una ejecución de código en una aplicación web se derive a una vulneración de la máquina y en muchos casos de la red.

Otro error muy común es pensar que todos los ataques son identificados. Esto no siempre es así. Principalmente porque, y por poner un ejemplo, un POST, con la propiedad de que los logs de Apache por defecto no almacenan el contenido de estas peticiones, a un fichero .cgi tiene el mismo aspecto que los otros 4500 que hay en el fichero de logs, sólo que uno de ellos puede suponer una ejecución de comandos y los otros no. Eso sí, lo que más resalta en los logs son los fallos que no sirven de nada: ataques a IIS en los logs de Apache, bruteforces a un servicio SSH, etc.

Pero bueno, si quieres ser como Sto. Tomás y hasta que no lo veas "no lo creas", pues es una opción tan válida como cualquier otra.

Un saludo.

¿Tienes paranoia o será que lo mío es retórica pura?

No, lo tuyo es paranoia esquizoide...y de la mala además. Haztelo mirar, tu salud mental te lo agradecerá.