Posted by & filed under internet, Seguridad Informática.

Así como en el casino hay que saber cuando retirarse, en la vida hay que saber cuando callarse. En términos de seguridad (informática o no) un factor crucial desde el punto de vista del atacante es la información que poseamos de la víctima. Abstraigamosnos un momento de la informática, si un ladrón quisiera entrar en nuestra casa, le sería muy útil sabér si hay cámaras, sensores, qué cerraduras hay, etc; por lo cual nosotros debemos tomar los recaudos necesarios para minimizar la información que se pueda recolectar.  Vamos a ver ahora como en diversos servicios de informática, se brinda información que no es acorde al contexto y que representa un riesgo de seguridad.

User Login

Supongamos que queremos ingresar a la cuenta de alguien, sin embargo no sabemos ni el user ni el pass así que vamos intentando. Lo correcto sería que en cada error el sistema no dé demasiados detalles más que un error, sin embargo hay algunos sistemas de inicio que -mal- indican que campo es el incorrecto por lo cual bajo un ataque de fuerza bruta (o algo de inteligencia) se puede obtener el usuario con lo que ‘sólo’ restaría obtener la contraseña.

Como ejemplo muestro unos intentos de logueo al blog de una amiga http://mariawintourmag.wordpress.com/

Acá habría que configurar wordpress de manera tal que no de información y además limitar la cantidad de intentos fallidos para impedir la automatización. (LoginLockdown, Captcha, etc).

System Info

Otra cuestión frecuente, es durante un error dar información del sistema que no es acorde al contexto. El ejemplo más típico es un 404 de apache:

Acá sucede que la url que requerimos no existe, notemos que al dar el mensaje de error; no sólo nos dice que tipo de servidor web es (en este caso Apache), sino la versión del mismo y sobre que sistema operativo corre. De este modo es muy fácil para un atacante verificar si es una versión desactualizada con algún error de seguridad explotable. Lo mejor es personalizar los mensajes de error, borrando indicios de nuestro sistema.

Esta es una entrada corta, sonza y hasta tonta; pero a veces son las pequeñas cosas las que hacen la diferencia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *