¿Explota inevitablemente el "costo de hacer negocios en Internet"?

Navega tus respuestas
5

Luego de otro ataque y una inyección de malware en su sitio web, el anfitrión Leo Laporte de la red Twit ha afirmado / dicho recientemente por su experto en seguridad que caer víctima de tales ataques es simplemente el costo de hacer negocios en Internet, y lo mejor que se podría hacer al respecto es reaccionar rápidamente, eliminar el malware y reparar cualquier vulnerabilidad que se haya utilizado, si es posible. La mayor culpa de esto fue a los pies de PHP, que es "intrínsecamente inseguro" con su arquitectura de ejecución de archivos en cualquier carpeta.

Esta afirmación simplemente voló mi mente. ¿Es este el mejor consejo que un experto en seguridad puede ofrecer? Si bien es cierto que PHP no es exactamente el lenguaje más estricto que existe, y que casi inevitablemente hay explotaciones en algún lugar, especialmente si utilizas muchos paquetes prefabricados y de uso directo, la mayor culpa aún debe ser impuesta a los incompetentes. Programadores y administradores de servidores. No?

¿Es realmente una tarea insuperable para un desarrollador consciente de la seguridad que sabe lo que está haciendo para desarrollar un sitio web moderadamente complejo y sin explotaciones en un tiempo razonable? Aunque estoy seguro de que los sistemas que he desarrollado no son 100% bug libres, tengo mucho cuidado con cualquier cosa que pueda permitir que un atacante modifique mi servidor de alguna manera; Y hasta ahora no he tenido que lidiar con la inyección de malware. ¿El estado del desarrollo web es realmente tal que la única solución para la inyección de código es limpiar constantemente después de los malos? ¿Hay datos del mundo real sobre este problema?

    
pregunta deceze 18.03.2012 - 11:00
fuente

2 respuestas

3

No, no es cierto. Las vulnerabilidades en la web no son un hecho inevitable de la vida en la web que solo tiene que sentarse allí de forma pasiva y aceptar. Al seguir prácticas de desarrollo web adecuadas y seguras, se puede reducir en gran medida la probabilidad / incidencia de vulnerabilidades. Es una de esas situaciones de "pagar ahora o pagar más tarde".

Por supuesto, uno también debe estar preparado para reaccionar rápidamente, pero uno puede reducir la necesidad de "simulacros de incendio" utilizando métodos apropiados de antemano. Parece que el experto de Laporte acepta esto implícitamente, cuando dice que parte del problema es el uso de PHP. Si el uso de PHP fuera la causa raíz de la mayoría de las vulnerabilidades en la web, uno simplemente podría evitar el uso de PHP (por ejemplo). Realmente no acepto su premisa de que el uso de PHP es la causa raíz de la mayoría de las vulnerabilidades en la web, pero el tema más amplio es correcto: las prácticas que se utilizan durante el desarrollo influyen en la probabilidad / frecuencia de las vulnerabilidades de seguridad más adelante.

Para obtener más información sobre buenas prácticas de desarrollo web, puede consultar OWASP. Véase también:

respondido por el D.W. 18.03.2012 - 18:22
fuente
3

Diría que no es tanto lo inevitable como lo son las explotaciones, sino que la industria de la seguridad durante mucho tiempo se centró más o menos exclusivamente en la idea de prevenir las hazañas y no puso el suficiente esfuerzo en detectar o reaccionar ante los problemas cuando se producen.

Desafortunadamente, lo que está ocurriendo es que los esfuerzos preventivos (en muchos casos) no son lo suficientemente buenos, lo que se debe a una serie de factores, como la mala comprensión de lo que significa "seguro" en una configuración dada, sin incentivos económicos para invertir correctamente en buenas prácticas de seguridad de desarrollo, la prevalencia de "aceite de serpiente" en las ventas de productos de seguridad ("¡Aquí compre esta caja negra y estará" seguro "!), etc., etc.

El resultado es que muchas compañías ahora se están comprometiendo, ya que los atacantes se están moviendo más rápido que los defensores en muchos casos, y los defensores tienen años de deuda de seguridad acumulada debido a la falta de inversión.

Por lo tanto, diría que es un consejo sensato para las empresas darse cuenta de que es probable que sufran una infracción y planifiquen en consecuencia.

Si desea obtener más información sobre el estado de juego, recomendaría los informes de violación de datos de Verizon, los informes Mandiant M-Trends y el estado de Veracode de los informes de seguridad del software, entre otros.

    
respondido por el Rоry McCune 18.03.2012 - 12:23
fuente

Lea otras preguntas en las etiquetas

Seguridad para el servidor doméstico, wiki ¿Qué aplicaciones están en riesgo de los "Nombres de Unicode al revés" y cuáles son las mitigaciones?