Entradas con la etiqueta ‘seguridad’
¿Son seguras las redes sociales?
El mundo de las redes sociales o el mundo 2.0 está en auge y si quieres ser cool tienes que estar pero también has de estar para poder hablar con tus amigos, familiares o compañeros con los que no puedes hablar en persona. Por estos motivos y por otros, las redes sociales están plagadas de usuarios.
Como ya sabemos las redes sociales tienen muchísima importancia o relevancia, tanto para el usuario particular como para la empresa.
Hay que decir, y tiene que quedar claro que las redes sociales y el mundo 2.0 no es más que realizar una comunicación a través de internet. Los grupos sociales siempre han existido (amigos, familiares, compañeros de trabajo, compañeros de instituto, compañeros de…) y con ellos siempre nos hemos comunicado, lo único es que las herramientas y los medios para comunicarnos han ido creciendo y avanzando.
Pues bien, si tenemos claro todo esto, ¿por qué subimos contenido a nuestro perfil público que no querríamos que viesen ciertas personas? La respuesta es sencilla, porque no sabemos manejar correctamente las herramientas y nos lanzamos a por las novedades y a por todo aquello que nos dicen que hemos de hacer. Pero el problema radica en que cuando nos dicen “¿no estás en facebook?“, “no me puedo creer que no sepas que es un hashtag“, “Pues si no puedes acceder a la hangout de esta noche ya me dirás como nos reunimos todos“,… lo primero que hacemos es darnos de alta para no quedarnos atrás. Y por supuesto al ir a darnos de alta rellenaremos todos los datos incluso los que sean opcionales.
Por lo tanto podemos decir que uno de los principales problemas de seguridad que tenemos en el mundo de las redes sociales es nuestro deseo y necesidad de no quedarnos atrás. Deseo que nos hace lanzarnos sin conocer la herramienta, su funcionamiento ni lenguaje. Está claro que antes de darnos de alta en una red social no nos vamos a leer las cientos de páginas en las que nos informan de dicho sitio pero si que hemos de tener unas medidas de seguridad mínimas, las cuales podemos resumir en:
¿La información que vas a publicar o facilitar la pondrías en un cartel en el Centro de tu Ciudad? Si la respuesta es que si, no tengas dudas y publícalo, en el caso de que la respuesta sea no deberías publicarlo.
Decir también que no toda la culpa es del usuario, también hay fallas de seguridad por parte de las empresas en las que nos damos de alta, en otras ocasiones hemos hablado de los problemas de seguridad de facebook y recientemente se ha dado otro fallo de seguridad tras la unión de Facebook y Skype. Quizás la unión de Facebook y Skype fue precipitada tras el nacimiento de Google + y fruto de las prisas se dio el error de seguridad descubierto por David Viera-Kurz.
En conclusión, por parte del usuario es necesario que se forme, entendiendo y comprendiendo el uso de la red social; y por parte de la empresa creadora de la red social deberán esforzarse en mejorar la seguridad y privacidad de sus usuarios, ya que en dicha seguridad estará el futuro de la empresa.
Android está en el punto de mira de los hackers
El sistema operativo Android, de la compañía Google, día a día va consiguiendo una mayor popularidad y cada vez son más los dispositivos vendidos que llevan dicho sistema operativo.
Android es un sistema que creó Google para dispositivos móviles y actualmente está presente en muchísimos Smartphones y tablets.
Una vez dicho esto, también hemos de resaltar algo que todos ya conocemos o al menos intuimos y es que el uso de Smartphones y tablets cada vez es más habitual, siendo ya millones de usuarios los que trabajamos desde nuestros dispositivos móviles.
Pues bien debido a todo este uso los hackers están viendo que Android es algo muy apetecible para desplegar en él su “creatividad“.
Actualmente los hackers están utilizando las aplicaciones para desplegar su malware en Smartphones y tablets e incluso se ha de indicar que en el “Adroid Market” podemos toparnos con aplicaciones infectadas. Aunque es cierto que Google junto con usuarios que advierten de estos problemas están trabajando para que en su tienda no existan aplicaciones con código malicioso.
La seguridad es algo muy importante tanto para el consumidor como para la empresa, siendo la empresa la que almacena las aplicaciones, Google en este caso, o bien quien diseña la aplicación. En la ayuda de los usuarios nos encontramos con las empresas que desarrollan aplicaciones y soluciones de seguridad informática, quienes pueden encontrar en estos problemas un nuevo target para sus productos.
Por lo tanto, decir que siempre que almacenemos información importante y relevante ya sea para uso personal como para uso profesional deberemos de cerciorarnos de que el lugar en el que almacenamos esta información está limpio y no tiene ninguna falla de seguridad. También deberemos de asegurarnos de tener siempre actualizados nuestros dispositivos, ya que las actualizaciones además de implementar mejoras, corrigen errores anteriores.
Finalmente también decir que aunque muchas veces al oír la palabra hacker nos echamos las manos a la cabeza, hemos de ser conscientes de que lo que hacen es encontrar fallas de seguridad, también es importante diferenciar entre aquel que realiza un hacking ético (White Hat) con aquel que se aprovecha de la situación (Black Hat, también conocidos como crackers). Es decir son personas que se preocupan porque nuestra información y datos que hemos confiado a un sitio que entendemos seguro realmente lo sea. Cada vez que un hacker advierte de una de estas fallas hace que las empresas se pongan a trabajar y mejoren la seguridad de sus infraestructuras.
La importancia de la seguridad en las aplicaciones web. Como crear aplicaciones web seguras
Cada vez es más habitual el uso de aplicaciones y tecnologías web en empresas o Gobiernos. Su fácil implementación y uso han hecho que sean prácticamente omnipresentes y esenciales en el comercio electrónico y aplicaciones intranet o extranet. Por lo tanto, información sensible y crítica es manejada a través de aplicaciones web.
Según estudios, una gran cantidad de sitios web son vulnerables a ataques surgiendo en los últimos años dos tendencias en el mercado de seguridad:
- Los atacantes no actúan por razones de prestigio personal, sino por obtener ingresos a través del fraude.
- Las aplicaciones web se han convertido en el objetivo para las operaciones de hackers. Según el grupo Gartner, se estima que el 75% de los ataques tienen como objetivo este tipo de aplicaciones.
Actualmente, en gran medida la reputación de una empresa está en manos de la aplicación web utilizada. Según una encuesta realizada en EE.UU., el 60% de los Clientes cesarían su relación con una empresa si sus datos personales estuvieran en riesgo de sufrir un ataque.
Desde el punto de vista de un administrador de un sitio web, la seguridad de una aplicación web no puede ser ignorada. Las decisiones de seguridad han de ser tomadas durante todo el ciclo de vida del proyecto: desde la fase de diseño hasta la de puesta en producción. Aunque es necesario conocer aspectos técnicos, herramientas y metodologías para securizar una aplicación web, también es importante considerar el factor humano. Cualquier usuario que acceda a la aplicación debe conocer y hacer uso de buenas prácticas.
Fallos de seguridad en aplicaciones web. Principales categorías
La mayoría de los fallos de seguridad existentes en aplicaciones web se pueden dividir en tres categorías.
Uso incorrecto de autenticación y control de acceso
Los parámetros de control de acceso y autenticación son a menudo utilizados y analizados incorrectamente. Esto puede crear un robo de identidad y permitir el acceso a usuarios ilegítimos al sistema.
El desarrollador debe expresamente utilizar mecanismos de autenticación y control de acceso para cualquier página web que requiera protección.
Vulnerabilidades de Inyección
La inyección consiste en insertar (inyectar) datos formulados especialmente en una función, programa o script. El objetivo es afectar el normal funcionamiento de la aplicación. Con este tipo de ataques se puede modificar el contenido de una base de datos o leer datos sensibles.
Los ataques de inyección más habituales afectan a bases de datos (SQL Injection), servicios de directorio (LDAP Injection), sistemas operativos (Command Injection) y a contenido web dinámico (XSS o Cross-Site Scripting).
Para evitar este tipo de ataques, es necesario que la aplicación filtre todas las entradas de datos del usuario antes de procesarlas. Por ejemplo, el lenguaje de programación PHP dispone de funciones que permiten filtrar los datos introducidos a través de formularios: htmlentities, addslashes o mysql_real_escape_string.
Fuga de información
Si las funciones y componentes internos de una aplicación muestran informaicón no segura a través de comentarios o mensajes de error, puede ocasionar fugas de información tales como nombres de usuarios, cuentas, consultas SQL, información de sesión, cookies, etc.
Esto puede facilitar el trabajo de un atacante en posteriores ataques.
Recomendaciones
Desde nerion os recomendamos:
- En el caso de utilizar un gestor de contenidos (CMS), mantenerlo siempre actualizado a la última versión la cuale estará libre de posibles vulnerabilidades ya conocidas.
- Utilizar un proyecto CMS con una actividad reciente. Por ejemplo, el proyecto de comercio electrónico OsCommerce hace tiempo que no libera una nueva versión y la última versión estable está repleta de vulnerabilidades ya no conocidas.
- Si la aplicación web es de desarrollo propio, recomendamos visitar el proyecto OWASP, comunidad abierta y libre de nivel mundial enfocada en mejorara la seguridad en las aplicaciones de software.
- Periódicamente, verificar y monitorizar la seguridad de la aplicación web a todos los niveles : servidor web, aplicación, base de datos, etc.
V Edición del Encuentro Internacional de la Seguridad de la Información (ENISE)
Los días 18, 19 y 20 de Octubre se celebra en León la quinta edición del Encuentro Internacional de la Seguridad de la Información (ENISE). En esta ocasión, el encuentro se centrará en Infraestructuras críticas, Cloud Computing y seguridad para dispositivos móviles.
ENISE aspira a seguir asentando las bases que le han convertido en referencia del sector gracias a la presentación de los principales técnicos y empresas de seguridad de la información. Es por ello que el lema de esta edición es “Hacia una sociedad conectada más confiable”.
La consolidación de ENISE se debe, en gran medida, al apoyo que desde sus inicios ha recibido de las entidades que conforman el sector de la Seguridad de la Información. Desde su primera edición, en el año 2007 la calidad de sus integrantes en forma de ponentes y asistentes han dado el prestigio al evento que hoy posee.
Durante los días que se celebre el evento habrá sesiones plenarias y talleres programados basados en: “Protección de las infraestructuras críticas”, “Seguridad en la nube” y “Seguridad y privacidad en dispositivos móviles”.
Por otro lado, además de las sesiones plenarias y los talleres tecnológicos, durante el desarrollo del evento se llevan a cabo otro tipo de actividades, también enmarcadas en el propio ENISE y que sirven de complemento al mismo, enriqueciéndolo y potenciando las relaciones y la interacción entre los diversos asistentes, organizaciones, empresas y usuarios que acuden al evento.
17 de Mayo, Día de Internet 2011
Hoy día 17 de Mayo se celebra el Día de Internet (Día mundial de las telecomunicaciones y sociedad de la información). Este evento se celebra a nivel mundial con más de 400 eventos en todo el mundo.
Entre los eventos que se celebran en España, por ejemplo INTECO-CERT participa en el Día Mundial de Internet con la realización de varias charlas dirigidas a menores y jóvenes, alumnos de diversos centros educativos de la provincia de León. Con esta iniciativa, INTECO intenta promover entre los internautas más jóvenes una navegación segura en Internet y un uso responsable de las redes sociales.
La celebración del diadeinternet surge por iniciativa de la Asociación de Usuarios de Internet ( www.aui.es ), y su primera edición tuvo lugar el 25 de octubre de 2005. Posteriormente, en la Sesión Plenaria numero 74, celebrada el 27 de marzo de 2006, las Naciones Unidas, a instancias de la II Cumbre Mundial de la Sociedad de la Información celebrada en Túnez, aprobaron designar el 17 de Mayo como Día Mundial de las Telecomunicaciones y de la Sociedad de la Información, compartiendo idénticos objetivos a los del Día de Internet.
Con la celebración del Día de Internet se pretende dar a conocer las posibilidades que ofrecen las nuevas tecnologías para mejorar el nivel de vida de los pueblos y de sus ciudadanos.
Uno de los aspectos claves del Día de Internet es la total libertad de cada colectivo para decidir qué hace, cómo lo hace y a quién dirige sus actuaciones. Todos pueden participar, cada cual decide su grado de implicación y todos cuentan lo mismo, con independencia de la magnitud o del número de propuestas que realicen.
Más información sobre el Día de Internet y participantes en su web oficial.
Bienvenido al blog de nerion
