miércoles, junio 25, 2008

Las vacunas

Supongo que la mayoría de vosotros os habréis puesto todas las vacunas. Ya sabéis, seguro que habéis contado con unos padres lo suficientemente responsables como para no dejar a seres andantes y parlantes pasear por un mundo lleno de virus y malos seres sin cumplir las vacunaciones pertinentes.

Yo recuerdo las sesiones de la cartilla de vacunación con cierto malestar, pues nunca he podido superar mi fobia a las agujas, las tijeras (incluidas las del peluquero) y las alturas (que le vamos a hacer si uno ha vivido toda su vida en un primero). Pero mi mamá y mi papá eran personas responsables que tenían que preocuparse de la seguridad de su hijito. Y no importaba que mi madre perdiera de trabajar ese día, mi mamá me llevaba a vacunar. No importaba que ese día tuviera que cuidarme ya que yo, aprensivo como soy, me ponía a morir con las vacunas. No importaba ni el tiempo, ni el dinero, yo era su hijito, su josemaricariño, y mi mamá me llevaba a vacunar. Era por mi seguridad.

No sólo se ocupaba de las vacunas mi mama, también me revisaba por las mañanas que me hubiera lavado los dientes, las manos, las orejas y la cara, que estuviera peinado, con mi colonia, abrigado y con los cordones bien apretados. No le importaba revisar mi cartera y comprobar que llevaba el bocadillo para el recreo, los libros de todas las asignaturas y los deberes hechos. No le preocupaba ir a hablar con los profesores cuando la llamaban para preocuparse de que aprendía correctamente. Era por mi seguridad.

Una vez en una conferencia, mi primo Laggy, dijo que el software es cómo un hijo. Debe ser cuidado y educado, con cariño, amor y preocupación. No importa los desvelos. No importa que tengas que perder tiempo poniendole sus parchecitos, no importa que debas revisar una y otra vez que el código es bueno, que tiene bien ataditas las comprobaciones de tipos, los valores de usabilidad y los tests. No importa que ya hubieras probado "algunas cosas". Hay que probarlo todo.

Al igual que en la vida real, si alguien no cuida bien a sus hijos hay que leyes para que se ocupen de él, con los servidores y las aplicaciones debería ser similar.

Ayer, Spectra, publicó un Advisory de seguridad. Este advisory no es de un fallo del software de Spectra, sino de los problemas que están teniendo los hijos de papas descuidados y despreocupados que no han cuidado correctamente a sus hijitos. En este caso los que tienen tecnologías ASP, ASP.NET y SQL Server.

Una de las recomendaciones que se ha hecho durante mucho tiempo ha sido, no visites páginas de las que no te fies. Bien, esta recomendación no vale para nada si los papás de las páginas fiables no han cuidado de su hijito.

Hoy en día se están poniendo "de moda" nuevas formas de infectar máquinas. En una de estas nuevas modalidades se buscan sitios legítimos que tiene fallos de SQL Injection en la aplicación aplicación web. En el caso de tecnologías de Spectra, buscan cosas como .asp?id= en Google, después prueban a saco todas esas urls pero añadiendo un bonito script en Transact-SQL que actualiza los datos alfanumericos de la base de datos con un include de javascript para meter un .js de un sítio ilegítimo que detecta la versión del navegador y regala al usuarios los exploits más chulos y que más se llevan para meterle un troyanito. Si cuela dabuti, si no a por el siguiente de la lista. La forma es bruta, pero funcionan. Así el ataque mezcla Google Hacking, SQL Injection, XSS, vulnerabilidades en navegadores y tecnología de troyanos. Toda una fiesta para el paladar.

Así tu vistias la página de tu colegio, las recetas más chulas o la web de la empresa de tu primo ... y te cae un regalito. Si la web es vulnerable y tu navegador tiene un exploit para el que no estás parcheado te puede tocar la lotería.

Spectra ha alertado a sus clientes con un advisory, pero esta recomendación no debe ser tomada sólo para los clientes .asp... ¿Cuanto tardarán en pasarse al coldfusion o el .jsp? Padres irresponsables que os saltáis las vacunas de vuestros niños...arderéis en el infierno.

Saludos Malignos!

9 comentarios:

Ramón Sola dijo...
Este comentario ha sido eliminado por el autor.
Ramón Sola dijo...

Incomprensiblemente te has "olvidado" de PHP en el último párrafo. ¿Eso quiere decir que los sitios basados en PHP están mágicamente perfectos o que no hay forma humana de salvarlos del desastre? :-P

warp3r dijo...

@ramón, supongo que chema estaba intentando evitar un flame con gente que no entienda que el código puede ser igual de malo en php o en asp XD
siguiendo con el cachondeo, es bueno que microsoft se de cuenta del tipo de clientes que tiene en el sector programadores de .net ;)
Y cachondeo aparte, hace tiempo que hice un post (solo que el blog lo tengo en catalán por aquello de que es lo único que hago en ese idioma) sobre la relación directa entre el coste de un proyecto y la calidad de su programación.
BTW, el otro dia, yo que no soy mu coco en seguridad, estuve pensando como podria pasarse una sqlinjection a través de modrewrite de apache (o de su equivalente en iis)

Anónimo dijo...

Yo sigo flipando la cantidad de maquinas que hay sin actualizaciones... y no de gente que no este relacionada con el mundo informatico precisamente! flipante :$

Jesús M. dijo...

Quizás sea porque muchos admin pasan más tiempo escribiendo en barrapunto (o en este mismo blog) que currando!!

Saludos!

Anónimo dijo...

Hola Lucifer.Se acaba de descubrir una bulnerabilidad informatica, y sabes donde? esta muy cerquita.
Pues precisamente en tu horoscopo, y hay que aguantar por que nadie podra parchearte a ti y a chema juas juas juas.

El masodidado

Chema Alonso dijo...

@Ramón Sola, PHP or not PHP, that's the question. He hablado tanto de él ya....

@warp3r, para no ser un coco en seguridad piensas en cositas, eh? ;)

@dade, se llama pasotismo.

@chen, jaja o el marca/as que estamos en la Eurocopa!

@anónimo,... eso, mejor que no me parcheen, que mientras funcione...

Asfasfos dijo...

Maligno, yo veo el problema desde la base, cuando la gente comienza a programar, aprende lo que no hay que hacer para no hacer un overflow o para no entrar en un bucle infinito, etc. Cuando la gente pasa este nivel y llega a la programación con BD, XML o lo que usen, no se les enseña adecuadamente a utilizar las herramientas, simplemente se les enseña a hacer una consulta, añadir datos como se pueda de medio pelo, modificar y borrar. Yo no he tenido a nadie que me diga como se programa seguro, tampoco he tenido ninguna asignatura que me enseñara seguridad de verdad.

Habrá gente que piense que estas cosas las aprende ya cada uno cuando coge experiencia, pero sinceramente aprenderla cuando ya te han hecho un SQL Injection y te han petado la web pues no hace mucha gracia, casi es mejor tener unas nociones básicas y luego que cada uno investigue sobre ello.

Ójala tuvieramos todos la posibilidad de asistir a tus cursos :)

Un saludo

Anónimo dijo...

@Rsola: ya estamos otra vez... ¿estas hablando de que PHP es un lenguaje "inseguro" de por sí? o de que el 90% de los que tiran código en PHP no han visto un SQLINJECTION en su puta vida?

Es que ahora se le llama programador PHP a aquel que se ha leido el curso de 12 páginas de webtaller...

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares