/home/blaster [ Blaster's blog ]

Archive for the ‘Ocio’ Category

despues de estar unos dias  offline volvemos a estar online ……

Los 10 errores de seguridad de los Webmasters que por supuesto los defacers y uno que otro script kiddie

los aprovecha para explotar

1.- Dejar respaldos de configuraciones importantes en directorios Web: Muchos administradores y webmasters se confían y suben respaldos de las configuraciones a directorios accesibles desde Internet lo cual es un error GRAVISIMO, ya que si alguien logra descargar estos respaldos, puede obtener contraseñas de bases de datos, conocer la estructura del sitio, etc.

2.- Dejar contraseñas por defecto: No son pocos los sitios que he visto con /phpmyadmin/ sin ningún password. Es recomendable NO usar phpmyadmin, pero si lo va a hacer al menos póngale clave de root a MySQL y una doble clave con .htaccess al directorio /phpmyadmin/.

3.- Claves de acceso fáciles de adivinar : Normalmente en los formularios de acceso a sitios o generalmente en las plataformas de administración ( /admin/) utilizan claves muy fáciles de romper por adivinanza, como el nombre del dominio o la misma clave que el nombre de usuario. Grave error. Además, hay que recalcar que aunque nadie pueda tener nuestras claves, éstas generalmente quedan almacenadas en bases de datos cifradas con el algortimo md5 y tienen un aspecto similar a esto: 098f6bcd4621d373cade4e832627b4f6. Si la clave en sí es MUY simple, no sirve de mucho que vaya cifrada ya que mediante un ataque de diccionario se puede obtener el password, o si no vean www.milw0rm.com/ y descifren 098f6bcd4621d373cade4e832627b4f6.

4.- No actualizar los softwares web: Muchos instalan Joomla o Dokeos y se olvidan de que existieron, se olvidan de las actualizaciones y al final terminan siendo el blanco de los script-kiddies que corren exploits como locos. Es importante actualizar los software web y sus componentes 3d Party.

5.-Creer que nadie los ataca: Desde que se instala un servidor nuevo con una IP nueva, está probado que en promedio pasan 5 horas antes de recibir los primeros escaneos desde algún lugar del mundo. No es buena práctica creer que nadie está pensando en destruirlos. Creo que este mismo sitio web ya tiene a varios nerds “sedientos” de hacerle algo.

6.-No realizarse autoataques. El hecho de autoatacarse y probar exploits y técnicas de hacking contra nuestros propios servidores ayuda a tener una visión más clara de los puntos débiles y por ende, se pueden fortalecer. Claro, esto depende netamente de la habilidad de cada uno, pero al menos si se le pone empeño se puede dejar fuera a varios lammers.

7.- Usar las mismas contraseñas de las bases de datos que usuarios del sistema: Hay muchas personas que tienen la mala costumbre de utilizar la misma clave de root de MySQL que la de root del sistema. Grave error, porque no es muy dificil aplicar técnicas de inclusión remota de archivos para mostrar el contenido de los scripts de configuración con los datos de las bases de datos (¿a alguien le suena config.php?). Una vez que se tienen los datos tipo: $username=root y $password=omaigad basta probar con una sesión SSH al servidor utilizando los mismos datos y… voilá!

8.-No usar https:// para formularios de login: Lo ideal es que cada vez que hayan formularios de login se utilicen sesiones cifradas con SSL (https), para evitar problemas de sniffing. Muchas veces es inviable hacerlo pero el error de los Webmasters está en que cuando se puede perfectamente, no lo implementan.

9.-Permitir que se liste el contenido de directorios: A veces ponemos www.sitioweb.com/scripts/ y el resultado es una lista interminable de scripts que muchas veces no funcionan y al tratar de ejecutarlos terminan arrojando errores que indican la ruta donde está instalada la página web dentro del sistema. Muchos usan el formato /home/usuario/, lo cual le dá al atacante un indicio del nombre de la cuenta de usuario bajo la cual corre la página web. Solución: de partida se puede crear un index.html en blanco en todos los directorios web para que no listen el contenido. Otra solución un poco más compleja pero efectiva es activar la opción -Indexes (con guión) en las directivas de Apache para el virtualhost en cuestión.

10.-No habilitar la seguridad de PHP: Quienes trabajan con PHP, en un 99% de los casos no habilitan las opciones de seguridad de php.ini. Hay dos variables interesantes que habilitar en php.ini: php_expose=off y safe_mode=on. Esta última opción evita que usando PHP se ejecuten instrucciones de sistema en la máquina. Por ejemplo en el caso de un ataque de inclusión remota, se puede crear un script con la intrucción system(”cat /etc/shadow”);, lo cual devolvería eventualmente el contenido de las contraseñas de sistemas cifradas. Si las passwords escogidas fueron simples, John The Ripper no demorará mucho en devolverlas. Solución, habiliten estas opciones en PHP.INI.

Y por último, pero no menos importante, casi siempre quedan disponibles scripts en las rutas www que tienen la función phpinfo(); la cual muestra mucha información del sistema. No es bueno tenerla activada (menos bajo un nombre tan común como info.php). Pueden eliminarla para evitar problemas.

1979-. Si quieres aprender a programar, aprende RPG-II, nunca haras nada en esta vida si no dominas RPG-II y el S/34 de IBM

1980-. Nunca habrá una maquina más potente que el Apple II. Sonido, disquetera, ¿que mas puede tener un ordenador?

1981-. 640K deberían ser suficientes para todo el mundo (Bill Gates, presidente de Microsoft)

1982-. Lo realmente potente es Atari. no creo que nadie les quite el sitio como maquina potente para edición musical y juegos.

1985-. Commodore es quien va a dominar el mercado. Llevan muchos años vendiendo ordenadores personales, y me han dicho que van a sacar uno que se va a llamar Amiga que va a ser la maquina definitiva….

1987-. Los ordenadores nunca podrán sustituir a las maquinas de videojuegos ni en sonido ni en capacidades gráficas.

1989-. ¿TCP/IP? Dejate de chorradas marcianas. El protocolo para LAN que peta es Appletalk.

1990-. dejate de sistemas operativos extraños (Unix) y usa MS-DOS. El DOS nunca desaparecerá….

1992-. Si quieres trabajar en informática, lo mejor es que programes en hypercard (Mac). Hipercard esta creciendo muchísimo de versión en versión…

1992-. Linux ( el kernel) está obsoleto, siendo monolítico y demasiado ligado a la arquitectura i386, pronto dejara de ser útil conforme avancen los desarrollos del hardware”. (Andrew Tanenbaum)

1994-. El mejor trabajo es la “programación” en HTML. mira son solo 15 etiquetas y en un momento haces una página…..

2000-. Microsoft ha sacado la version Windows ME. Es el momento ideal para comprarse una maquina que me dure otros 10 años….

2007-. ¿Has oido? Los usuarios de Linux dicen que ya hay alternativas a Microsoft en los PC de escritorio… ¡Que Inutileeesss…..!

Así son las computadoras que aparecen en las películas de Hollywood:

• Los procesadores de texto nunca tienen cursor.
• No es necesario usar la barra espaciadora al escribir frases largas.
• Todos los monitores muestran unas letrotas de 10 centímetros.
• Las supercomputadoras, del tipo usado por la NASA, la CIA y otras instituciones gubernamentales, tienen interfaces gráficas fáciles que podría entender hasta un idiota.
• …Y las que no tienen increíblemente poderosas interfaces de línea de comando pueden entender correctamente, y ejecutarlos, comandos tecleados en inglés sencillo.
• Corolario: usted puede obtener acceso a cualquier información que desee escribiendo simplemente “ACCEDER A TODOS LOS ARCHIVOS SECRETOS” en cualquier teclado. De la misma manera, usted puede infectar a una computadora con un virus superdestructivo escribiendo “SUBIR VIRUS”. Los virus elevan la temperatura de las computadoras como los virus biológicos en el ser humano. Un momento después, las unidades de disco y los monitores empiezan a echar humo.
• Todas las computadoras están conectadas. Usted puede acceder a la información almacenada en la del villano de la película, inclusive si nadie la ha encendido.
• Las computadoras poderosas dejan oír un pitido cuando usted presiona una tecla o cuando la pantalla cambia. Algunas inclusive reducen la velocidad de la salida en pantalla para que no sea demasiado rápida para la lectura. Las computadoras *realmente* avanzadas hasta emulan el sonido de una impresora de matriz de puntos mientras los caracteres aparecen en pantalla.
• Todos los paneles de computadoras albergan cientos de voltios y verdaderos hornos bajo su cubierta. Los desperfectos son indicados por un fogonazo, un resoplido de humo, una lluvia de chispas y una explosión que obliga al usuario a retroceder de golpe.
• La gente que escribe en una computadora la apaga sin antes salvar la información.
• Un “hacker” puede entrar en la computadora más sensible del mundo sin ser interceptado y descubrir el “password” en dos intentos.
• Todo mensaje de PERMISO DENEGADO tiene una función CANCELAR.
• Los cálculos complejos y la carga de enormes cantidades de información se realizan en tres segundos o menos. En el cine, los módems transmiten la información a razón de dos gigabytes por segundo.
• Cuando la planta eléctrica de cualquier sitio se sobrecalienta, todos los paneles de control explotan, así como el edificio entero.
• Si usted abre un archivo, lo tiene en pantalla y alguien lo elimina desde otro punto de la red, el archivo desaparecerá de su vista. No hay manera de copiar un archivo de respaldo y no existen órdenes Undelete.
• No importa qué tipo de disquete use: siempre podrá leerlo en cualquier sistema donde lo introduzca. Todas las aplicaciones se pueden ejecutar en todas las plataformas.
• Por alguna extraña razón, cualquier niño con una edad comprendida entre los 11 y los 15 años sabrá manejar cualquier tipo de programa existente, aunque haya sido diseñado por los servicios secretos o los científicos de una empresa de alta tecnología.
• Mientras más moderno es el equipo, más botones tiene. Sin embargo, todo el mundo debe estar muy entrenado, porque los botones no están rotulados.
• Sin importar cuán pequeñas sean, la mayoría de las computadoras tienen una impresionante realidad tridimensional, trabajan a verdadero tiempo real y son capaces de mostrar gráficos animados fotorrealistas.
• Por alguna extraña razón, los ordenadores portátiles siempre parecen tener sorprendentes capacidades videofónicas en tiempo real, y el poder de proceso de Deep Blue.
• Cuando las letras se muestran en pantalla, la imagen es tan brillante que se proyecta hacia el rostro del usuario.
• Las computadoras nunca se cuelgan durante tareas difíciles o trabajo muy intenso. Los humanos que las operan nunca cometen errores bajo situaciones de estrés.
• Los programas son maquiavélicamente perfectos y nunca tienen “bugs” que entorpezcan el trabajo.
• Usted puede obtener un minucioso detalle de cualquier fotografía, y hacer “zoom” hasta donde lo desee. Por ejemplo: “¿Qué es esa mancha borrosa en la foto de satélite de Nueva York?”. “No lo sé, déjame revisar… (el protagonista aplica un “zoom” infinito) “¡Es un pelo del asesino!”.

1. Si tienes tiempo para comentar tu código, entonces tienes tiempo para refactorizar.
2. Si tienes tiempo para refactorizar, tienes tiempo para hacer pruebas.
3. Si tienes tiempo para hacer pruebas, tienes tiempo para rediseñar el sistema.
4. Si tienes tiempo para rediseñar el sistema, tienes tiempo para beber.
5. Tómate una cerveza: los comentarios son para lloricas.

El original (en ingles) en secretgeek

Un buen momento para recordar la vieja frase: los verdaderos programadores programan en binario.