miércoles, abril 11, 2007

¿Se acabará la mágia?

Dicen que los hackers son como los magos, que cuando ves una intrusión o un hackeo es como cuando ves un truco en el que cortan a alguien por la mitad, todo sorpresa y expectación, pero, de la misma forma que en la magia, todo se desvanece cuando sabes el truco. “¡Coño!, ¡que fácil!” (así me recuerdo cuando vi el USB Bomb que me enseñó Tarasco)

¿Hay que acabar con esa ilusión?

Supongo que todos estamos de acuerdo en que en la magia siga la ilusión, yo quiero seguir pensando que si alguien me parte en dos me pueden volver a juntar con una caja y listo o que Tamariz debe seguir deslumbrándonos con ese cochecito de goma espuma que se detiene en la carta elegida.

En el tema de las técnicas hacking creo justamente lo contrario. Nuestro trabajo es una profesión técnica y no de cuentos (para eso tenemos ya a los tecnicoless que hablan de pájaros y flores) y no necesitamos utilizar efectos y trucos, sino una disciplina que haga que los que programan desarrollen mejor y los que implantan y gestionan sistemas lo hagan mejor.

¿Avisar o no avisar?

Más de 20 veces me han hecho esta pregunta. La verdad es que la conciencia de cada uno debe reinar. Avisar es lo suyo, pero reconozco que suele existir poca gratitud al respecto e incluso te dicen cosas como “¿Y tú que hacías mirando mi web?” El segundo problema es que tampoco se puede hacer constantemente. Raras son las empresas que tienen una aplicación web perfecta y en muchas es flagrante. Cuando uno tiene la mirada sucia y ve un programa.php?id=34 o listado.asp?campo=nombre o cosas así tienes la necesidad de probar y en 8 de cada 10 encuentras un fallo aunque no vayas a perseguirlo porque es un sql injection facilón o un XSS o cualquier chorrada. Además, para hacer algo así, hay que romper la ley según el ¿nuevo código penal? Avisad… mientras que no sea delito.

Así que date por avisado. No publiques una aplicación web sin un test de intrusión previo.

11 comentarios:

  1. Pienso que la seguridad en la web no tiene por que importarle a priori al desarrollador. Al fin y al cabo si es bonito y hace lo que tiene que hacer (incluso más), cobras y a otra cosa mariposa. Si no existe una responsabilidad civil (otro argumento más para pensar que debería haber un colegio de ingenieros informáticos) para el programador ¿a quien le importa? Además, como dices, se lo tomará a mal.
    Solo cuando las cosas se pongan chungas de verdad, que la gente deje de confiar en el e-comerce y se deje de mover pasta, igual entonces se profesionaliza esto y los cursos CCC de dreamweaver ya no serán suficiente para diseñar un site. Otra cosa, además, que después los ingenieros estén formados para crear sitios seguros.
    Tú sigue dando cerita, que en ese momento las consultoras de seguridad se pondrán las botas.
    Aún me rio con lo de la libreria y su base de datos de clientes. Hay que joderse.

    ResponderEliminar
  2. gangrolf ... como es eso q al desarrollador no deberia importarle a priori la seguridad de una aplicacion ??
    es como decir q la gente de bases de datos, no deberia importarles nada las aplicaciones que acceden a las mismas ya que ellos solo administran bases de datos :D jejeje

    es una pena q como dices, las cosas se tengan q poner chungas para que la gente habra los ojos.

    Saludos

    ResponderEliminar
  3. Que de dias y que de casos como este. ¿Qué hacer si has sacado una tabla de usuarios y contraseñas? ¿Avisas al webmaster? y o te da las gracias o incluso te paga por arreglarlo o en el segundo caso (como la mayoria de las veces) te insultan y los mas graves incluso una denuncia. Esto algo personal y ético el reportar el fallo o no hacerlo.

    ResponderEliminar
  4. Yo curro como programador y he de decir que donde trabajo la seguridad es complementa secundario, mi jefe de desarrollo tiene una teoria muy aplastante, para que securizar un servidor o una aplicacion, si alguien quiere te lo peta. Por esa regla de tres la seguridad donde trabajo es de chiste y de las aplicaciones que se desarrollan ni te cuento.
    PD: La seguridad no importa, solo importan los tiempos de desarrollo.

    Chema te mande un mail hace tiempo a tu correo de informatica64, a ver si nos podemos poner en cotnacto.

    Un saludo!

    ResponderEliminar
  5. Si la seguridad no es prioritaria.... así pasa.

    SirW2p, bajo a Sevilla. Nos veremos?

    Karhgot, voy un pelín retrasado en correos, no te preocupes que llegaré y contestaré!

    ResponderEliminar
  6. Creo que la seguridad debería ser responsabilidad del programador, pues es él el creador de algo que puede fallar. Sin embargo, claro que en muchos casos es el jefe el que ordena pasar de todo, y como dice "Karhgot" lo que importa son los tiempos de desarrollo, en la mayoría de los casos.

    ResponderEliminar
  7. La primera frase sobre la magia me ha recordado a la alcolea entre cubatas :P

    En otro orden de cosas, a ver si terminas ya con los correos y llegas al mio, que es pa la semana que viene ... :P

    ResponderEliminar
  8. Maquina,
    ¿dónde y cuándo estaras por sevilla?

    ResponderEliminar
  9. Bruno, siento que no haya quedado claro, y releyendo entiendo que no pone no lo que quería expresar. Me lamentaba de que al desarrollador no le importe a priori la seguridad, sino que tenga que pasar algo para decir: "ah coño, que para la edad puse un string, así peta cada vez que la utiliza como parámetro para algo y se cuelga el servidor/tiran la aplicacion/se cae el sistema".
    Quería ponerlo con cierta ironía, pero me he pasado, jeje. De todas maneras creo que el comentario completo muestra mi punto de vista. Más me gustaría a mi que la seguridad fuera una profesión reconocida!;)

    ResponderEliminar
  10. ganrolf !!!

    ya m parecia pero me dio miedo q eso quede alli :P
    x suerte sigue estando Chema p/ tirar palos de manera sutil y el sentido comun q es el menos comun d los sentidos en la informatica

    Saludos :D

    ResponderEliminar
  11. Hola SirW2p, el día 18 estoy en Sevilla, mándame un correo en privado para quedar, ¿ok?.

    Pedro Laguna, te contesto y lo mismo te digo!

    Un saludo!

    ResponderEliminar