Qué medidas de seguridad debe tener antes de permitir abiertamente a los investigadores de seguridad hackear su sitio

6

Como una especie de seguimiento de mi pregunta anterior , que fue formulada por el investigador de seguridad / punto de vista del probador de penetración:

(Gracias a Rory McCune por señalarlo ) Parece que hay varios sitios de alto perfil como Facebook y Google que parecen permitir abiertamente a los investigadores de seguridad que intenten piratear su sitio, siempre y cuando divulguen los resultados de manera responsable. A primera vista, esto parece ser una buena idea en general. ¿Por qué contratar personas para que realicen las pruebas de penetración si algunos están dispuestos a hacerlo de forma gratuita? (Y los malos lo harán si lo preguntas o no).

Sin embargo, ¿qué medidas debería tener un sitio ya implementado antes de emprender un esfuerzo aparentemente arriesgado? (o tal vez me equivoque y no es más arriesgado que si no haces esa invitación activamente). No me preocupan especialmente los aspectos legales o cómo tratar esos informes , sino el aspecto técnico de las cosas. . ¿Podría aplicarse la misma lógica a las aplicaciones o sitios web más pequeños que a los grandes? es decir, ¿la publicación de dicha declaración puede poner a su sitio en un mayor riesgo que dejarlo fuera?

    
pregunta Yoav Aner 02.04.2012 - 22:56
fuente

2 respuestas

5

Debe tener en cuenta que sitios como Google, Yahoo, Amazon tienen un par (de miles) de servidores. Pueden darse el lujo de "abrir las puertas" a todos porque, como señaló M15K, sus recursos no están limitados.

Hay un par de razones por las que podrían ser "abiertas":  1. Puedes recopilar estadísticas de rendimiento.  2. Puede probar la estabilidad del sistema (si el servidor X falla, el servidor Y tiene que asumir el control, etc.)  3. Probablemente hay muchas más razones que no puedo imaginar.

En compañías pequeñas / medianas / grandes, usualmente terminas usando servidores Linux / Unix, Apache, Nginx, LigHTTP, Jetty, MySQL, PostgreSQL, Oracle y etc. Sitios como Google (gigante) crean su propia plataforma y su propio software. soluciones: servidores web, bases de datos, reenvíos de proxy y etc. Por lo tanto, dejar "la puerta abierta" para el público en realidad les ayuda a mejorar constantemente su seguridad y sus plataformas porque cada "pirata informático" del mundo intentará derribarlos. Algunos de ellos tendrán éxito y generalmente terminan trabajando para la empresa o reciben un número satisfactorio en sus cuentas bancarias :)

En mi opinión, no es seguro "abrir" todo si la empresa para la que trabaja no crea la mayoría de las soluciones de software desde cero (servidores web, bases de datos y cualquier otra cosa que necesite su empresa). Incluso entonces es un poco arriesgado, especialmente si está administrando datos confidenciales.

i.e. could publishing such a statement put your site at more risk than leaving it out?
No importa si dice "No le demandaremos si nos dice dónde está la violación". Si alguien quiere piratearlo, intentará hacerlo sin importar si la declaración está ahí o no. Pero si está allí, puede sonar más como si los estuvieras invitando. Por lo tanto, es probable que tengas más piratas informáticos que intenten piratear tu servidor.

However, what measures should a site already have in place before embarking on such seemingly risky endeavor?
Deberá descubrir un mecanismo de registro o controlar las acciones que se están realizando en el sitio y el servidor. También una copia de seguridad completa del sitio / servidor es una necesidad.

En general, no recomendaría dejar el servidor "abierto", especialmente si maneja información confidencial como tarjetas de crédito, pagos, información médica para pacientes, etc. Es mejor que contrate a un equipo de hackers con un contrato adecuado. De lo contrario, estás arriesgando toda esa información en público.

No puedo entrar en más detalles, ya que este tema es ENORME y hay muchas cosas que debes considerar antes de hacerte "público":

  1. ¿Tienes el dinero para hacerlo?
  2. ¿Tienes los recursos? (servidores, equipos de seguridad y etc)
  3. ¿Hasta dónde puede limitar los daños que un hacker puede hacer a su sistema? ES DECIR. Si un hacker piratea su servidor, ¿qué acceso tendrá? ¿Podrá conectarse a su base de datos y recuperar / almacenar / actualizar datos? ¿Sus datos están encriptados? ¿Será capaz de descifrarlo? (y así sucesivamente)
  4. ¿Puede su equipo de seguridad descubrir cómo un pirata informático explotó su sistema?
  5. ¿Su equipo de seguridad tiene las habilidades para solucionar los problemas que pueden surgir?
  6. Probablemente hay muchas más preguntas que debe hacer y responder antes de decidir.
respondido por el tftd 03.04.2012 - 02:30
fuente
3

Creo que esta es una pregunta o práctica que se realiza mejor una vez que haya examinado a fondo su sitio con sus propias prácticas internas. Recuerde, lo que es bueno para Facebook y Google puede no ser bueno para usted.

Tienen sistemas redundantes y pueden permitirse que un sistema se caiga por un tiempo, incluso está incluido en su plan de continuidad de negocios. Me atrevería a suponer que la mayoría de las otras empresas que tienen sus servidores web fallan es todo lo posible.

No puedo imaginar que muchos escenarios positivos al declarar temporada abierta en tu puerta de entrada resulten en algo útil. Pero digamos que sí, y obtienes algunos comentarios positivos. ¿Está usted y su equipo de seguridad en condiciones de remediar esas vulnerabilidades?

    
respondido por el M15K 02.04.2012 - 23:10
fuente

Lea otras preguntas en las etiquetas