Mantenga a los hackers lejos de su Web
Dentro de la seguridad de los sitios Web existen numerosos niveles y variantes que dependen de la función del sitio en cuestión. Cada uno de estos niveles significa más dinero. Por lo tanto, el primer paso para proteger el propio sitio Web es determinar el valor de los datos que necesitan protección, un cálculo que deberá ser realizado preferentemente por los directores comerciales, y no por el departamento TI. Si verdaderamente se desea analizar el valor de la propia información, se necesita la participación de personas del área comercial, ya que conocen el valor de esa información.
Para realizar este cálculo, uno de los factores clave es la finalidad del sitio Web. De esta forma, en el nivel más bajo están los servidores Web que alojan contenido público, como es el caso de los servidores del ejército, por ejemplo. Estos servidores deberán funcionar fuera de la firewall corporativa, actuando como un dispositivo autónomo. Al no existir conexión con la red, la amenaza al resto de ésta queda bajo control, y el costo de una intrusión se limita a cierta pérdida de crédito ante el público y a un determinado periodo de inactividad.
Si el servidor Web resulta dañado, habrá que considerar también el costo de la sustitución y reconstrucción de los datos. Por este motivo, los expertos en seguridad de la información recomiendan enfáticamente mantener CDs de reserva del contenido de los servidores, con el fin de conectar de nuevo el sitio Web a la red a un costo mínimo.
En segundo lugar, un servidor Web de doble propósito, con contenido público y algún contenido sensitivo, requerirá una inversión proporcionalmente mayor. Estos sitios tienen un área destinada a que accedan a ella los clientes y recojan ofertas de trabajo, así como otros datos de baja clasificación. Para esto es suficiente con la encriptación de nombres de usuario y con las contraseñas. Una vez que se comienza a hacer participar interactivamente a los clientes, el valor de los datos y los costos de protección aumentan de forma rápida e importante. Así, los sistemas transaccionales, como las compras en la Red y los sitios Web para operaciones bancarias requerirán la máxima inversión.
Las intrusiones a un sitio Web por parte de hackers son sólo una pequeña parte del conjunto de la seguridad Web. Las cosas verdaderamente importantes son la confidencialidad, la disponibilidad y la integridad. Esto resulta difícil, porque cuando se está analizando la seguridad para estos sistemas, hay que tomar en consideración todas las posibilidades. Este tipo de sitio Web no puede permitirse periodos de inactividad, ni intrusiones a sus servidores que permitan el acceso a datos de consumidores ni a información sobre tarjetas de crédito. Por lo tanto, esta política de seguridad para sitios Web deberá concentrarse no sólo en encriptar transacciones, sino que también deberán ser encriptados los datos en el servidor. Y esas compañías deberán actuar con la debida prontitud y diligencia.
Un ejemplo claro es el del sector bancario. Para que los bancos puedan ofrecer un producto bancario Internet, tendrán que considerar la encriptación de datos, tests de penetración y auditorías internas que permitan examinar y analizar productos, normas, controles de acceso y la forma en que es manejado el sitio Web.
Puntos débiles
Proteger un sitio Web es una tarea compleja, que resulta aún más difícil a causa de la misma naturaleza de los sistemas que se está intentando securizar. Los atacantes pueden violar un sitio Web de miles de formas pero, normalmente, los hackers comienzan buscando en los servidores Web fallos corrientes que con frecuencia no son corregidos. Los problemas más frecuentes en servidores Web son los interfaces tipo CGI (Common Gateway Interfaces) excesivamente permisivos. Se trata de un directorio en el que los administradores almacenan programas ejecutables destinados a ayudar en el funcionamiento del sitio Web, que puede ser aprovechado por los hackers para obtener un control de “raíz” del servidor. También hay fallos y “agujeros” que pueden ser aprovechados por los hackers en los gateways de servidores de aplicación, así como centenares de otros puntos vulnerables que, si no se corrigen, pueden hacer posible un control total del servidor Web por parte de los hackers. Para obtener la máxima seguridad hay que dejar en el servidor sólo los servicios verdaderamente necesarios para el funcionamiento del mismo y suprimir los scripts CGI innecesarios, porque si la codificación no está funcionando un atacante no podrá explotarla.
Si los hackers no pueden penetrar explotando un servidor Web, atacarán directamente al sistema operativo mismo. Los principales sistemas operativos están también llenos de fallos. Uno de los ataques favoritos al SO es el que se conoce como “buffer overflow”, que consiste en inundar un buffer con demasiados sistemas de datos, desorientándole de tal forma que permita a los atacantes penetrar al nivel de raíz. Otro método de ataque es la “sustracción de sesiones”, en el que el hacker manipula su dirección IP para adoptar la identidad de una máquina considerada segura. A los hackers les gusta también corromper el servidor de nombre de dominio para asumir la identidad de una dirección IP conectada. En lo que se refiere a los sistemas operativos, la mejor protección para los puntos vulnerables es hacer más estrictos y difíciles los permisos y situar el servidor Web detrás de un dispositivo de filtrado que sólo permita conexiones Internet al HTTP Port 80.
Desde el momento en que se crea una página Web, se está invitando a la gente a penetrar. Los hackers son también hués-pedes invitados, que simplemente se toman más libertades de lo debido. Es por eso que los webmasters necesitan actuar inteligentemente en la forma en que crean sus páginas Web. Al analizar la seguridad de un sitio Web, habrá que preguntarse: ¿cuál será el costo para la compañía si no se actúa estrictamente en lo relativo a la seguridad?
Factores críticos del exito
-------------------------------------
• Seguir los procedimientos generales de seguridad para securizar el SO host.
• Securizar el acceso desde la Red al servidor Web.
• Configurar correctamente las aplicaciones que funcionan en el servidor Web.