Ciberataques: Una nueva forma de expresión

En los últimos años, el crecimiento de las nuevas tecnologías, y de la conectividad mediante dispositivos electrónicos (móviles, tablets, etc…) ha realizado un cambio importante en la vida de las personas, quienes poco a poco dependen más de estas tecnologías.

La gran protagonista de la era digital que vivimos es la red de redes, que se ha convertido en un elemento necesario y siempre presente, tanto en los hogares como en todas las empresas.

A través de las comunicaciones digitales se mueven cantidades ingentes de información (comunicados, blogs sociales, publicidad).

Todos estos servicios accesibles mediante la red de redes, a menudo no se encuentran asegurados de forma correcta, o están afectados por fallos de diseño, debido a que el tema de la seguridad suele tratarse como algo secundario.

En nuestros días ha surgido una nueva forma de expresarse, que consiste en buscar fallos en los servicios (portales web, por ejemplo) publicados en Internet, y explotarlos una vez encontrados.

Esta forma de actuar, llevada a cabo por personas con determinados conocimientos informáticos, se ha puesto de moda, creándose grupos organizados con propósitos comunes.

Los propósitos pueden ir, desde robar las credenciales del correo de una persona, o su clave de acceso a una red social, a robar datos bancarios de gran importancia.

Fundamentalmente, los propósitos más típicos están relacionados con el robo de información, y con Denegaciones de Servicio.

Esta situación ha generado un pánico generalizado en la sociedad, quien empieza a ver a través de los medios que los sistemas que utiliza en su vida cotidiana no son tan seguros como pensaba. El resultado es la desconfianza en Internet y en sus tecnologías, aunque a estas alturas, se depende demasiado de estas tecnologías como para prescindir de ellas.

La mejor forma de no sentirse vulnerable frente a estos ataques es apostar por la seguridad.

En el ámbito del hogar, las mejores armas para prevenir los ataques informáticos son:

• Tener instalado un antivirus actual y mantenerlo actualizado

• Instalar las últimas actualizaciones de los programas y del Sistema Operativo utilizado

• Tener instalado un Firewall de host que nos informe de las conexiones no autorizadas que se intenten realizar.

• Mantener una actitud preventiva frente a mensajes o correos de desconocidos o con apariencia sospechosa

En cuanto al ámbito empresarial, las medidas citadas son igualmente válidas, siendo necesario además, implementar otras medidas adicionales, como pueden ser:

• Implantación de redes seguras, mediante sistemas perimetrales de protección

• Revisión y actualización de dichos sistemas

• Realización de Auditorías de Seguridad e Intrusión

• Realización de Auditorías de código para verificar que las aplicaciones son seguras

Como se puede observar, todas las medidas implantar pueden conllevar un sote económico importante, y sin embargo ser víctima de un ataque puede conllevar gastos aún mayores.

En conclusión, nuestra mejor arma es la concienciación. Debemos tener bien claro lo que puede ocurrir, qué forma de comportamiento debemos adoptar para minimizar las posibilidades de que los ataques tengan éxito, y qué medidas podemos implantar para aumentar la protección frente a amenazas externas.

Áudea Seguridad de la Información

www.audea.com

[Imagen]

Cómo revisar la seguridad en MySQL

MySQL es una de las bases de datos más extendidas entre los sistemas de información de producción en las organizaciones. Es por ello que se ha convertido desde hace tiempo en blanco de hackers y atacantes en busca de información de interés.

Desde el punto de vista técnico existen distintos puntos de revisión de una base de datos MySQL, fundamentalmente:

• Asignación de privilegios

• Fichero de configuración

• Cuentas de usuario

• Acceso remoto

Una de las primeras acciones de revisión se debe centrar en la revisión de las cuentas por defecto, en este caso root. Para ello se puede comprobar si existe la cuenta y contiene contraseña en blanco:

SELECT User, Host

FROM user

WHERE User=’root’;

El acceso remoto (puerto 3306) a la base de datos debe ser monitorizado y controlado. Es muy común que el servidor de aplicaciones resida en la misma máquina que la base de datos, por lo que se podría limitar las conexiones a la base de datos desde fuera de localhost. Para ello se puede configurar esta opción en el fichero my.cnf añadiendo:

MYSQLD_OPTIONS="--skip-networking”

Adicionalmente existen algunos parámetros de configuración o arranque de la base de datos interesantes desde el punto de vista de la seguridad:

• skip-grant-tables: Arrancar el sistema con esta parámetro supone una grave brecha de seguridad, ya que supone que cualquier usuario tiene privilegios para hacer cualquier cosa sobre la base de datos. En algún caso puede ser útil para recuperar la contraseña de root.

• safe-show-database: Permite mostrar solamente aquellas bases de datos sobre las que un usuario tiene algún tipo de privilegio

• safe-user-create: permite determinar si un usuario puede crear nuevos usuarios siempre y cuando no tenga privilegios de INSERT sobre la tabla mysql.user

Finalmente, y partiendo de la base de asignación del mínimo privilegio necesario, uno de los aspectos de seguridad a revisar son los privilegios asignados en la base de datos:

Select * from user where

Select_priv = 'Y' or Insert_priv = 'Y'

or Update_priv = 'Y' or Delete_priv = 'Y'

or Create_priv = 'Y' or Drop_priv = 'Y'

or Reload_priv = 'Y' or Shutdown_priv = 'Y'

or Process_priv = 'Y' or File_priv = 'Y'

or Grant_priv = 'Y' or References_priv = ‘Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

Select * from host

where Select_priv = 'Y' or Insert_priv = 'Y'

or Create_priv = 'Y' or Drop_priv = 'Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

or Grant_priv = 'Y' or References_priv = ‘Y'

or Update_priv = 'Y' or Delete_priv = 'Y'

Select * from db

where Select_priv = 'Y' or Insert_priv = 'Y'

or Grant_priv = 'Y' or References_priv = ‘Y'

or Update_priv = 'Y' or Delete_priv = 'Y'

or Create_priv = 'Y' or Drop_priv = 'Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

Áudea Seguridad de la Información

www.audea.com

¿Será la ley Sinde inútil?

De todos es sabido, por la publicidad constante, que la industria acusa a las webs de enlaces por la supuesta vulneración de los derechos de propiedad intelectual.

Pues bien, tras llevarse muchos de estos casos a los tribunales, uno tras otro se les ha dado la razón a las webs, ya que, enlazar contenidos no implica delito alguno, un enlace no contiene ni un sólo bit del producto a descargar o visualizar.

Pero la solución llega de la mano del Proyecto de Ley de Economía Sostenible o comunmente llamada ley Sinde por la disposición final segunda. La cuál establece una comisión de Propiedad Intelectual que se encargará de juzgar si deberán cerrarse estas webs o no y en la que intervendrá la Audiencia Nacional. De forma que, todos los casos que no han estado ni están siendo juzgados actualmente por los tribunales podrán ser declarados como ilegales a través de una comisión dependiente del Ministerio de Cultura. Esto ha hecho que la industria retroceda en aras de un contexto propicio en el que puedan conseguir sus objetivos.

Ahora David Bravo, abogado especialista en propiedad intelectual y derecho informático, ha publicado un artículo explicando cuál podría ser la vacuna contra ésta. Tomando en la ley de Partidas de Alfonso X El Sabio, la ley 46, título Il, partida tercera, la cuál regula la "acción de jactancia" y se encuentra en vigor tras una sentencia de 1988 declarada por el Tribunal Supremo.

¿Y qué es la "acción de jactancia"? La “acción de jactancia” es precisamente aquella que puede interponerse contra aquél que presume de tener un derecho contra ti pero que, paradójicamente, no promueve ninguna acción legal para reivindicarlo, expone David Bravo en su web.

Lo triste es que aunque esto mismo pudiera utilizarse para muchos casos, si la ley Sinde sale adelante, perderemos un derecho fundamental que podrá ser el primer paso para la censura de los contenidos en internet.

Referencias:

Artículo de David Bravo

Artículo de Carlos Almeida

Caso Sharemula.com

La ley Sinde para torpes

Artículo de El Mundo

Artículo de 20minutos.es

Publicación de la nueva web de ADWYS

Buenas adwysianos!!

La Asociación de Diseño Web y Seguridad de la Universidad de Cádiz (ADWYS) está orgullosa de presentar su web. En ella se publicarán con cierta frecuencia artículos propios, noticias relevantes, se mantendrá informados sobre nuestros eventos u otros que puedan ser de interés, descargas, y mucho más...

Además avanzamos, que pronto estará disponible toda la información sobre ADWYS CON 2011, el I Congreso de Ingeniería Web y Seguridad Informática que se celebrará los días 23, 24 y 25 de Febrero de 2011.

Por ahora, para contactar con nosotros lo puedes hacer a través de:

E-mail: contacto_arroba_adwys_punto_es

Teléfono: 956 015 341

Oficina: C/ Dr. Marañón, 3 11002 (Planta Baja, Vicerrectorado de Alumnos)