Medios de acceso a una página oficial de un sitio web y sus posibles soluciones.
En los últimos tiempos varias páginas de gobiernos de distintos países han sido hackeadas ,varias páginas web de organismos del estado fueron alteradas en su contenido . Lo cual de por si es bastante grave teniendo en cuenta que la imagen de cualquier país es conocida hoy en muchos aspectos a través de sus páginas web.
Algunos analistas de seguridad han dicho que es probable que los hackers provengan del exterior del país atacado ya que en esta época es "temporada alta" ya que la mayoría de las personas que se dedican a esto (en su mayoría los hackers son estudiantes universitarios del hemisferio norte) están de vacaciones y dedicarían más tiempo a estas tareas. Esto puede ser así en parte pero llama la atención que tantas páginas hayan sido hackeadas en los últimos tiempos lo cual hace sospechar de que el hacker pueda provenir desde el propio país o que tenga contactos locales .
Veamos cuales pueden ser los medios de acceso a una página oficial de un sitio web :
Para cambiar el contenido web de un sitio hay que tener una usuario y clave de acceso al servidor en el cual se encuentra alojado el sitio web . Si el sitio web está alojado en una empresa de hosting del propio país atacado (lo cual es muy probable por tratarse de organismos del estado) habría que comenzar a investigar o preguntar a las empresas de alojamiento de sitios web cuales son los mecanismos de seguridad que utilizan y que personas tienen acceso al contenido del sitio (webmasters, diseñadores ,etc) .
Si el sitio web esta alojado en un servidor del propio ministerio o repartición gubernamental es una situación especialmente delicada ya que cada ministerio tendrá sus webmasters, programadores, diseñadores etc que pueden tener diferentes estrategias de seguridad diferentes , comportamientos , etc.
Lo habitual para invadir un sitio es instalar un troyano dentro de la computadora que aloja las paginas web o dentro de la del webmaster que tiene acceso al server . Si el sitio esta alojado en un proveedor de hosting es poco probable (todo depende de la seriedad del proveedor) que un hacker pueda instalar un troyano en dicho servidor . Si, es más probable que pueda hacerlo en la computadora de la persona (o personas) encargas de actualizar el sitio y que por lo tanto manejan claves de acceso e información sensible de ser copiada .
Las tácticas de ingeniería social son las más usadas por hackers para colocar un troyano en una computadora que luego pueda grabar lo que el usuario escribe sobre el teclado y posteriormente enviarlo a una computadora remota .
Es común recibir mensajes desde direcciones web falsificadas del propio servidor indicando una cambio de clave o una información importante que viene en un archivo adjunto . Dar doble clic en el archivo adjunto alcanza para que el troyano quede instalado y comience a enviar información hacia el exterior .
Intentar adivinar la clave de acceso a un sitio web con programas afines es extremadamente difícil si una clave tiene 6 o 7 caracteres y es del tipo "xc_f4.3" . En un caso criminal con autorización judicial, el FBI demoro 3 años en descifrar una clave (tres años donde la computadora estuvo siempre encendida buscando la combinación de caracteres correcta) . Después del 11-S el FBI lo puede hacer mas rápido ,sin duda, pero no se trata de evitar que ingrese el FBI a nuestro sitio web (eso es otra historia) sino de que lo haga un hacker que a lo sumo cuenta con una computadora de escritorio común y con no mucho tiempo libre para dedicarse exclusivamente a ingresar a un sitio .No es como en las películas donde el detective mira alrededor de los muebles del hacker y dice la clave debe ser "bulls18mayo" por un afiche que vio en la pared y justo es esa. Eso es un disparate.
Es verdad que se siguen usando claves de fácil acceso por parte de usuarios que se logean a estaciones de trabajo pero las claves de usuarios administradores o super-usuarios o las claves de acceso a sitios web son bastante más complejas en su mayoría . Lo cual hace sospechar y ha sido comprobado por estudios estadísticos que la inmensa mayoría de los ataques de este tipo contaron con algún contacto interno dentor de la institución atacada : algún empleado desconforme , cambiaron la autoridades y los nuevos responsables ¿cambiaron todas las claves de acceso? Este es un error frecuente . Se recomienda cambiar las claves a menudo ya que la misma puede haber sido dada en confianza a una persona que ya no pertenece a la empresa y que puede haber sido victima voluntaria o no de un hacker.
Por otra parte comprobamos a diario que la cuestión de las claves de acceso a sitios web se ha manejado tanto por parte de empresas publicas como privadas con falta de estrategias de seguridad. Hagamos una analogía con el mundo físico , si usted va a sacar a una copia de la llave de su casa a una cerrajería y luego de una año pierde sus llaves no se le ocurriría ir al cerrajero a ver si tiene una copia de su llave . En Internet es frecuente que si una empresa pierde la clave de acceso a su sitio web llame al diseñador del sitio para ver si tiene una copia de la misma así no haya hablado con el diseñador desde hace mucho tiempo .
De la misma manera que protege las llaves de su casa deberá proteger las claves de acceso a un sitio web .
Muchas empresas desconocen hasta los tramites mínimos para solicitar una clave de acceso perdida.
La estrategia básica de seguridad en una empresa respecto a claves de acceso debe contener los siguientes puntos :
Algunos analistas de seguridad han dicho que es probable que los hackers provengan del exterior del país atacado ya que en esta época es "temporada alta" ya que la mayoría de las personas que se dedican a esto (en su mayoría los hackers son estudiantes universitarios del hemisferio norte) están de vacaciones y dedicarían más tiempo a estas tareas. Esto puede ser así en parte pero llama la atención que tantas páginas hayan sido hackeadas en los últimos tiempos lo cual hace sospechar de que el hacker pueda provenir desde el propio país o que tenga contactos locales .
Veamos cuales pueden ser los medios de acceso a una página oficial de un sitio web :
Para cambiar el contenido web de un sitio hay que tener una usuario y clave de acceso al servidor en el cual se encuentra alojado el sitio web . Si el sitio web está alojado en una empresa de hosting del propio país atacado (lo cual es muy probable por tratarse de organismos del estado) habría que comenzar a investigar o preguntar a las empresas de alojamiento de sitios web cuales son los mecanismos de seguridad que utilizan y que personas tienen acceso al contenido del sitio (webmasters, diseñadores ,etc) .
Si el sitio web esta alojado en un servidor del propio ministerio o repartición gubernamental es una situación especialmente delicada ya que cada ministerio tendrá sus webmasters, programadores, diseñadores etc que pueden tener diferentes estrategias de seguridad diferentes , comportamientos , etc.
Lo habitual para invadir un sitio es instalar un troyano dentro de la computadora que aloja las paginas web o dentro de la del webmaster que tiene acceso al server . Si el sitio esta alojado en un proveedor de hosting es poco probable (todo depende de la seriedad del proveedor) que un hacker pueda instalar un troyano en dicho servidor . Si, es más probable que pueda hacerlo en la computadora de la persona (o personas) encargas de actualizar el sitio y que por lo tanto manejan claves de acceso e información sensible de ser copiada .
Las tácticas de ingeniería social son las más usadas por hackers para colocar un troyano en una computadora que luego pueda grabar lo que el usuario escribe sobre el teclado y posteriormente enviarlo a una computadora remota .
Es común recibir mensajes desde direcciones web falsificadas del propio servidor indicando una cambio de clave o una información importante que viene en un archivo adjunto . Dar doble clic en el archivo adjunto alcanza para que el troyano quede instalado y comience a enviar información hacia el exterior .
Intentar adivinar la clave de acceso a un sitio web con programas afines es extremadamente difícil si una clave tiene 6 o 7 caracteres y es del tipo "xc_f4.3" . En un caso criminal con autorización judicial, el FBI demoro 3 años en descifrar una clave (tres años donde la computadora estuvo siempre encendida buscando la combinación de caracteres correcta) . Después del 11-S el FBI lo puede hacer mas rápido ,sin duda, pero no se trata de evitar que ingrese el FBI a nuestro sitio web (eso es otra historia) sino de que lo haga un hacker que a lo sumo cuenta con una computadora de escritorio común y con no mucho tiempo libre para dedicarse exclusivamente a ingresar a un sitio .No es como en las películas donde el detective mira alrededor de los muebles del hacker y dice la clave debe ser "bulls18mayo" por un afiche que vio en la pared y justo es esa. Eso es un disparate.
Es verdad que se siguen usando claves de fácil acceso por parte de usuarios que se logean a estaciones de trabajo pero las claves de usuarios administradores o super-usuarios o las claves de acceso a sitios web son bastante más complejas en su mayoría . Lo cual hace sospechar y ha sido comprobado por estudios estadísticos que la inmensa mayoría de los ataques de este tipo contaron con algún contacto interno dentor de la institución atacada : algún empleado desconforme , cambiaron la autoridades y los nuevos responsables ¿cambiaron todas las claves de acceso? Este es un error frecuente . Se recomienda cambiar las claves a menudo ya que la misma puede haber sido dada en confianza a una persona que ya no pertenece a la empresa y que puede haber sido victima voluntaria o no de un hacker.
Por otra parte comprobamos a diario que la cuestión de las claves de acceso a sitios web se ha manejado tanto por parte de empresas publicas como privadas con falta de estrategias de seguridad. Hagamos una analogía con el mundo físico , si usted va a sacar a una copia de la llave de su casa a una cerrajería y luego de una año pierde sus llaves no se le ocurriría ir al cerrajero a ver si tiene una copia de su llave . En Internet es frecuente que si una empresa pierde la clave de acceso a su sitio web llame al diseñador del sitio para ver si tiene una copia de la misma así no haya hablado con el diseñador desde hace mucho tiempo .
De la misma manera que protege las llaves de su casa deberá proteger las claves de acceso a un sitio web .
Muchas empresas desconocen hasta los tramites mínimos para solicitar una clave de acceso perdida.
La estrategia básica de seguridad en una empresa respecto a claves de acceso debe contener los siguientes puntos :
- Utilizar claves de difícil descifrado del tipo cv_K8up con el mayor numero de caracteres posibles. Nunca usar palabras , fechas o palabras combinadas. Un ataque de diccionario puede deducir fácilmente cualquier clave que sea una palabra en cualquier idioma.
- Actualizar frecuentemente un antivirus en cada computadora que tiene acceso a Internet estableciendo sanciones a los funcionarios que no actualicen frecuentemente el antivirus .
- Utilizar un firewall y configurarlo adecuadamente.
- Tener una lista de las personas que tiene acceso a información sensitiva y establecer prioridades y responsabilidades.
- Cambiar las claves frecuentemente.
- Establecer un protocolo de envío y recepción de emails que se cumpla a rajatabla.
Alan Maximilian Hernandez
Profesor de Seguridad en Internet en Red21.com