Desarrollo Web, PHP, Python, CSS, HTML, Javascript, GNU/Linux… » seguridad

Como todos sabemos,  algunos países europeos han recomendado no usar Internet Explorer por razones de seguridad.   Esto ha desatado un ola de descargas de navegadores alternativos, como es el caso de Firefox.  Tanto así que en Alemania se han producido 300,000 descargas por encima del promedio.

Las descargas de Opera han aumentado alrededor de un 37%, y aunque no se tiene dato de Chrome, se supone que también ha aumentado el promedio de descargas.  Nuevamente podemos ver como Internet Explorer sigue perdiendo y perdiendo terreno en esta guerra.  Lo peor del caso(para Internet Explorer) es que en estos momentos la tendencia es cada vez más utilizar un navegador para todo lo que hacemos en nuestras computadoras(o smartphones).

Para hacer mas duro el golpe, Firefox acaba de lanzar su version 3.6, la cual promete ser mucha más rápida que la anterior versión, y trayendo nuevas caraterísticas bastante interesantes.  Veamos:

Cada día nos hacemos más dependientes de Internet, y ahora aún más con todos los Smartphones que tenemos en el mercado y los que se aproximan.  Las redes sociales nos hacen presión y nos dicen: “No te vayas!! Me necesitas!!”, y les hacemos caso.  Ya no sólo escuchamos música en nuestras computadoras mientras trabajamos o jugamos o navegamos, sino que hay todo un mundo diferente en la Web.

Con la llegada al medio de la Web 2.0, Web services,  Cloud Computing, entre otras cosas, me parece a mí que no hay grandes necesidades de Aplicaciones de Escritorio mas que para aquellas aplicaciones que necesariamente deban acceder el hardware del equipo, es decir, aplicaciones de bajo nivel.

Es por esto que Google ha tenido esa iniciativa de crear un Sistema Operativo basado en un Navegador(Google Chrome).  Hay personas que se están olvidando sus Laptops, pues con su iPhone hacen todo lo que “necesitan”.

Aparte de esto, cada día vemos como empresas han migrado sus Aplicaciones de Escritorio a Aplicaciones Web.  Y esa es la tendencia.  Un ambiente más ligero, más agradable a la vista, más seguro y sobre todo, pero muy sobre todo, totalmente multiplataforma.

Multiplataforma.  Microsoft Windows, GNU/Linux, Mac OS…Chrome OS??? Cual elegirías tú? Cuál versión? Por qué no nos olvidamos de eso y preguntamos: cuál Navegador voy a utilizar? Qué importa! Ya todos son buenos! Multiplataforma, el gran dolor de cabeza de los desarrolladores de Software.

Increíblemente estoy diciendo que Google Chrome OS tendrá su futuro…Yo mismo me negaba a creerlo, pero sí, sólo así podremos romper los problemas de compatibilidad de aplicaciones…Multiplataforma…Multiplataforma…La Web es el Futuro…

Here i have an interesting video that shows how to Crack a WEP WiFi Connection, using Backtrack Linux.

La decisión de Mozilla estaba destinada a evitar posibles agujeros de seguridad, e hizo que la extensión de la plataforma .NET fuera bloqueada tras un estudio preliminar.

Sin embargo, la lista de bloqueos que se utiliza para habilitar o deshabilitar ciertas extensiones ha sido actualizada, esta vez para volver a aceptar dicha extensión tras revelarse que los problemas de seguridad que se temía que podían producirse no son reales.

“Hemos recibido la confirmación de Microsoft esta noche de que el complemento del Asistente del Framework no es un mecanismo para explotar las vulnerabilidades descritas en el post anterior, así que lo hemos eliminado de la lista de bloqueos“, comentaba Mike Shaver, Chief Evangelist de Mozilla, y que añadía que “a medida que la lista de bloqueos se propague a los diversos clientes, el complemento debería rehabilitarse para usuarios que lo habían habilitado previamente“.

Fuente: MuyComputer.com

Un gran poder representa una gran responsabilidad, es por esto que en PHP debemos ser cuidadosos con lo que hacemos y las herramientas que utilizamos.  Por esto les dejo esta lista de puntos a cuidar cuando desarrollamos aplicaciones en PHP.

• Error Reporting en modo Verbose
• Registrer Globals
• Uso de la variable Global $_REQUEST
• Magic Qoutes
• Prevenir XSS (Cross-site scripting)
• SQL Injection
• Code Injection
• Uso de la función “eval()”
• Recuerda usar RegEx(Regular Expressions)
• Minimiza uso de Comandos Externos

Aunque hay muchos otros puntos de seguridad, de seguro muchos de nosotros hemos sufrido algún problema por cualquiera de los puntos anteriores mencionadas, cosas que no hacemos y cosas que no tomamos en cuenta.

Aqui les muestro un poco de Código que he tomado de PHP.net

1
2
3
4
5
6
7
8
9
10
11

< ?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
} else {
    echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.";
    echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
?>

En MuyPymes se hacen una pregunta: ¿está preparado Linux para el mundo corporativo? Aunque es verdad que existen opiniones contradictorias, muchas de las críticas que se le hacen a Linux están basados en afirmaciones (mitos) que sencillamente no son ciertas, como aquella que dice que no existe software empresarial.

Desde nuestra experiencia e independientemente de que nos decantemos por uno u otro sistema operativo, reconocemos que Linux tiene recursos más que suficientes como para representar una alternativa válida para empresas de todos los tamaños.

En MuyPymes están seguros de ello, y lo demuestran refutando los 5 mitos anti-Linux en la empresa. Y es que como todos sabemos, Linux es precisamente una opción de éxito en servidores, pero también tiene que conquistar el terreno de los puestos de trabajo. Todos los detalles, en el artículo de MuyPymes.

Tal y como comenta un experto en seguridad, se han detectado una serie de oleadas de ataques por fuerza bruta -ya vamos por la tercera, según sus datos- en las cuales se están evaluando ciertas medidas de seguridad en servidores basados en Linux.

Esos ataques suelen fracasar en muchos casos, pero también hay exploits que logran causar el efecto deseado, el de hacer que el atacante tenga acceso a ese servidor y a la máquina con Linux para controlarla remotamente. Por ello los administradores de sistemas, y en última instancia los usuarios de Linux, deberían estar atentos a esta circunstancia.

“Sí, los errores son más fáciles de encontrar cuando el código fuente está disponible“, comentaba este usuario, “y sí, el modelo de seguridad de Unix o cualquier variante suya es muy preferible a esos sistemas infernales anunciados por alguien en Seatle, y sí, hay unos cuantos cientos de razones buenas y válidas (técnicas y de otros tipos) por las que basar tu negocio en software con licencias abiertas y libres es normalmente una buena idea“.

“En lo relativo a la seguridad tendrás un mejor punto de partida, y con un poco de esfuerzo podrás tener el control y mantenerlo. Pero conlleva cierto grado de esfuerzo por una o más personas cualificadas que estén dispuestas y puedan tomar ese control y tomar también las decisiones importantes“, terminaba diciendo este experto, que descubrió cómo una pequeña vulnerabilidad en el módulo dt_ssh5 podía haberle puesto en muchos problemas.

Fuente: MuyLinux.com

En un mensaje en su blog en el sitio de la Free Software Foundation (FSF) Richars Stallman se disculpó por su afirmación de que el sistema operativo Mac OS X de Apple tiene una puerta trasera que permite instalar cambios en la computadora furtivamente.

“He dicho en discursos que Apple podría imponer cambios en el software forzadamente en Mac OS X, al igual que Microsoft puede con Windows. He escuchado esto en la comunidad de la Mac, pero no hay información publicada que confirme esto, y creo que he sido mailinformado. No hay evidencia de que Apple ha instalado cambios en el software sin el permiso del usuario”.

Estos son 18 mandamientos que he encontrado en el site de “Fedora Venezuela” que me parecen bastante buenos

1. Harás lo mismo una y otra vez sin perder el tiempo en tareas mundanas
2. Santificaras los respaldos periódicos y completos
3. Honraras el número reducido de particiones grandes
4. No codiciarás otro sistema que no es necesario
5. No procrastinarás(Acción de postergar actividades qjue debe atender, por otras  situaciones más irrelevantes y agradables.)
6. Te documentarás y automatizaras tus tareas
7. No reiniciarás una máquina si no sabes que sucederá después
8. Honrarás los recursos que te brinda el Sistema Operativo
9. Documentarás políticas de acción completas y efectivas
10. Sabrás con certeza si un equipo/servidor es confiable
11. Conocerás lo suficiente para no dudar a la hora de presionar Enter
12. Serás el primero en enterarte cuando algo anda mal
13. Mantendrás logs de todo lo que ocurra en tus servidores
14. Conocerás tu entorno de trabajo como la palma de tu mano
15. Aprenderás de tus errores y evitarás que se repitan a costa de tu salario
16. No tendrás malos pensamientos de quienes hagan mal uso del sistema
17. Aceptarás que no eres nada semejante a Dios por tener privilegios de root
18. Guardarás un día de reposo para socializar y bendecir tu vida offline

Leo en BarraPunto.com:

Un bloguero vietnamita, que había comentado un controvertido proyecto de minas de bauxita en el centro del país y había opinado sobre la detención de un conocido abogado defensor de los derechos humanos, ha sido arrestado por problemas de “seguridad nacional”. En su blog, Bui Thanh Hieu trató y criticó también la detención a mediados de junio de un conocido abogado que podría ser juzgado próximamente por hacer propaganda contra el régimen.

Backtrack es una distribución de GNU/Linux orientada a las redes informáticas.  Esta distro nos ofrece una increíble cantidad de herramientas para expertos en Seguridad de Redes y hoy en día esta  distro es grandemente utilizada para descubrir “huecos” en las redes y por uqé no también para “meterse en lo que no le importa”.

Si usted es alguien interesado en Seguridad de Redes le recomiendo enormemente que pruebe esta distro.  Puede descargar un LiveCD, a decir verdad, no he probado esta beta, pero Backtrack 3 era bastante complicado de instalar, pues la idea no es instalar el sistema, sino poder correr el sistema operativo en cualquier lugar, realmente no querras que te penetren tu red teniendo este sistema instalado.

He utilizado Backtrack 3, y aunque no soy un experto ni mucho menos, es bastante potente la cosita esa…

Esta disponible en Torrents..

¿Será 2009 el año de la nube? ¿Cómo afectará la crisis a la Web 2.0? ¿Mejorará la seguridad en Internet? Algunos gurús tecnológicos ofrecen sus primeras impresiones sobre qué podemos esperar del año que comienza. Aseguran que veremos incrementado el número de ciberdelicuentes por el creciente número de desempleados con perfil tecnológico.

La crisis económica seguirá destruyendo empleo tecnológico en 2009. De las 1.059 empresas encuestadas por CDW en EE.UU durante el mes de noviembre un 11% esperaban recortes de plantilla, frente al 5% del mes anterior. El recorte en la inversión también será importante, y es un aspecto en el que coinciden la mayoría de expertos. La consultora City Investiment Research cifra el descenso entre un 10% y un 20% para 2009.

Para Vince Kellen, de Cutter Consortium, la Web 2.0 y, en particular, las redes sociales, seran los grandes perjudicados de estos recortes: “Aun a riesgo de ofender a los entusiastas de la Web 2.0 pensamos que la mayoría de inversores verán más arriesgado poner su dinero en este tipo de proyectos. Para especular e innovar es necesario dedicar tiempo al capital humano y tener liquidez. Creo que muchos proyectos se estancarán en 2009, y sólo aquellos con un fuerte retorno de la inversión sobrevivirán”.

Yankee Group predice el principio del fin de los cables. La popularización cada vez mayor de las redes inalámbricas provocará la deseceleración y progesiva reducción de las ventas en soluciones con cable tanto en las empresas como en usuarios particulares. También estiman que este puede ser el año de la videoconferencia, una vez que las empresas empiezan a considerarla como una alternativa válida y más económica a los viajes y reuniones presenciales.

La fuerte demanda de netbooks continuará a lo largo del año próximo. La consultora DisplaySearch augura buenas cifras en todos los frentes: usuarios avanzados, empresas y economías emergentes serán los pilares de su crecimiento.

En seguridad, Sophos pronostica un aumento importante en los ataques de inyección SQL y de scareware (software intimidatorio, que incita al usuario a instar aplicaciones maliciosas). Por su parte, Message Labs vaticina un incremento del número y de la sofisticación de los ataques phishing a usuarios de redes sociales.