SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

8 mar 2008

Segu-Info » , , » El mito de la seguridad web total

El mito de la seguridad web total

8 mar 2008, 5:38:00 p.m.   Comenta primero!
  , ,  

Dos amigos están dando un paseo por el bosque cuando un oso empieza a perseguirlos. Uno de ellos echa a correr y su amigo le dice: "¿Estás loco? ¡No podemos correr más que un oso!". El primero responde: "No necesito correr más que el oso. Me basta con correr más que tú".

Este chiste resume un interesante artículo de Jeremiah Grossman (fundador y director técnico de WhiteHat Security) acerca del elusivo mito de la seguridad web total.

No cabe esperar de este artículo una sesuda discusión sobre cómo asegurar un sitio web para que sea invencible, porque el escrito trata en realidad sobre la imposibilidad de lograrlo. Aún más: Grossman afirma -con muy buen criterio- que ni siquiera es necesario aspirar a tanto.

Para Grossman hay dos tipos de sujetos que pueden tener interés en atacar un sitio web...

En primer lugar, están los que buscan fastidiar. Es gente dispuesta a invertir horas, días, meses o años, en encontrar el fallo que les dará las llaves del reino. Ante éstos la única defensa posible sería -precisamente- la seguridad total y permanente, pero puesto que eso resulta imposible de alcanzar, y puesto que el atacante en cambio sólo necesita un hueco, el resultado del juego está cantado.

Luego está el segundo grupo: los que buscan rentabilizar el ataque. En general son más fáciles de combatir, puesto que piensan en términos de ROI (retorno de su inversión). Por esa razón, si en un par de días o -como máximo- un par de semanas (si el sitio es especialmente atractivo) no logran nada, buscarán de inmediato otra presa más asequible.

Como consecuencia (y volviendo al chiste del oso) el desafío en la seguridad web consiste en saber cómo de rápidos son el oso y nuestros compañeros "de paseo", teniendo siempre en cuenta que ambos suelen correr cada día más.

Eso sí: si nuestro sitio presenta vulnerabilidades demasiado obvias de XSS, inyección SQL o similares -concluye Grossman- estaremos tentando a la suerte y jugando a la siempre peligrosa ruleta rusa.

Fuente: http://www.kriptopolis.org/mito-seguridad-web-total



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!