La seguridad, se basa en la
protección de activos. Estos activos pueden ser elementos tan tangibles como un
servidor o una base de datos, o pueden ser la reputación de una empresa.
Generalmente podemos evaluar la seguridad de un activo en base a tres aspectos
principales que no necesitan explicación: integridad,
disponibilidad, confidencialidad.
Estos tres aspectos a su vez dependen de otros tres
elementos principales que engloban prácticamente todos los distintos controles
que se pueden establecer en un sistema informático:
- Autenticación:
los clientes de nuestras aplicaciones o servicios deben ser identificados
de forma única, sean usuarios finales, otros servicios o computadoras
externas.
- Autorización: no
solo es necesario saber quiénes acceden a nuestros activos, también es
necesario establecer que es lo que pueden hacer con ellos. Un nivel de
autorización dado determina qué tipo de operaciones o transacciones puede
efectuar un cliente dado sobre un recurso dado.
- Registro
y Auditoria: luego de efectuada una operación,
es importante que esta sea registrada adecuadamente, en particular es
esencial si queremos evitar el repudio de transacciones efectuada por un
cliente.
Amenazas comunes
Los múltiples ataques
externos a los que puede estar expuesto un sitio web son usualmente
clasificados en categorías principales. A continuación describiremos en mayor
detalle cuatro de ellos.
· Autenticación: son
las que explotan el método de validación de la identidad de un usuario,
servicio o aplicación.
Ø Fuerza
Bruta
Ø Autenticación
insuficiente
Ø Débil
validación de recuperación de Password
· Autorización: explotan
el mecanismo de un sitio web de determinar si un usuario o servicio tiene los
permisos necesarios para ejecutar una acción.
Ø Predicción
de Credenciales o Sesión
Ø Autorización
insuficiente
Ø Expiración
de Sesión insuficiente
Ø Fijado
de Sesión
· Ataques Lógicos: explotan
la lógica de la aplicación (el flujo procedural utilizado por la aplicación
para efectuar cierta acción.
Ø Abuso
de funcionalidad
Ø Denial
of Service
Ø Insuficiente
Anti-Automatismo
Ø Insuficiente
validación de procesos
Ø Manipulación
de entradas (URL, campos).
· Ataques al cliente: atacan
al usuario de la aplicación.
Ø Content
Spoofing
Ø Cross-Site
Scripting
· Ejecución de comandos: ataques
diseñados para ejecutar comandos remotos en el servidor.
Ø Buffer
Overflow
Ø Format
String
Ø LDAP
Injection
Ø Ejecucuón
de Comandos (OS Commanding)
Ø SQL
Injection
Ø SSI
Injection
Selección de contraseña
· Nunca uses la misma contraseña para
diferentes servicios
Aun cuando resulta difícil
recordar varias contraseñas, no utilices nunca la misma clave en diferentes
servicios. Si lo hicieras serías más vulnerable ante los ataques y pondrías en
riesgo todas tus cuentas, pues sólo se necesitará hackear una cuenta para que
pierdas tu privacidad.
· Preguntas de seguridad
Nunca respondas con la
verdad las preguntas de seguridad por cuanto la respuesta a dichas preguntas
puede estar incluso en tu perfil de Facebook sin que lo recuerdes, y si resulta
que eres una personalidad famosa las respuestas pueden encontrarse en una búsqueda
en la web.
De ser posible crea tu propia pregunta de seguridad o simplemente olvídate de esas preguntas y concéntrate en recordar tus contraseñas.
Para una mejor explicación
puede consultar los siguientes videos relacionas acerca del tema.
0 comentarios:
Publicar un comentario