Seguridad de la Informacion

El grupo Anonimus en colaboración de otro grupo de hackers que e hace llamar Piratas de red acaban de atacar a diversas paginas del gobierno del Perú , en su mayoría han ejecutado ataques DDOS, pero en algunos casos incluso se han logrado infiltrar y han cambiado los contenidos de la pagina principal, se desconoce si es que han obtenido mayor acceso, en todo caso a nosotros desarrolladores, diseñadores, analistas, Ingenieros, amantes del software que medidas de seguridad tenemos la obligación de implementar dentro de nuestro alcance, nuestras aplicaciones web son seguras ?? para nuestros clientes, para la empresa!! , considerando que muchas paginas del gobierno del Perú están implementadas en tecnologías Java y otras.

Saludos, quisiera saber sus impresiones sobre este tema, seguridad de las appweb.

referencias :http://peru21.pe/noticia/814219/anonymous-ataca-web-gobierno-peruano

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.
Imagen de ezamudio

tantas cosas

desde lo muy basico como evitar inyeccion de SQL y tambien XSS (cross-site scripting), que son problemas que se solucionan validando y "esterilizando" todo lo que los usuarios envian al sistema, hasta validar que las paginas internas de una aplicacion con control de accesos, realmente son internas (que no se puedan ver si no tienes una sesion activa).

Evitar ataques de replay, manejar timeouts razonablemente cortos en las sesiones, evitar fugas de datos en los URLs son otros aspectos.

A nivel base de datos pues tambien cosas como NO almacenar passwords en claro, y de ser posible ni siquiera cifrados con algun algoritmo simetrico; deberian idealmente siempre ser digestiones, con sal. Dependiendo del tipo de aplicacion, exigir a los usuarios que usen passwords razonablemente seguros: longitud minima, inclusion de distintos tipos de caracteres (mayuscula, minuscula, digito, garabato).

Para el caso de evitar hackeos externos pues tener un buen firewall, monitoreo de sistemas 24x7, tener los equipos muy bien actualizados a las ultimas versiones del sistema operativo, todos los parches del mismo y de todos los servicios expuestos, modulos de seguridad (por ejemplo en linux tener actualizado el kernel, openssl, openssh, httpd, etc), verificar que las configuraciones de los servicios expuestos a internet sean realmente seguras, y que haya muy buen control de accesos a los distintos componentes del sistema (shell, aplicaciones, base de datos, etc). Que los servicios se ejecuten bajo usuarios dedicados que unicamente tengan los permisos necesarios para el servicio que ejecutan.

Un buen sistema de bitacoras en todos los componentes te puede permitir hacer algo de investigacion forense (ya que te hackearon, revisar de que cosa se aprovecharon).

Todo esto no te hara invulnerable, pero definitivamente ayuda a que no seas presa facil. Cuando alguien ya te tiene en la mira, van a entrar a tu sistema y burlar tu seguridad de una u otra forma; pero pues con todo lo que he mencionado, tu sistema al menos sera lo suficientemente dificil de penetrar como para ahuyentar al script kiddie casual.

Imagen de gallark

Gracias por responder

Gracias por responder ezamudio, como siempre!! :D.
No conocía los ataques XSS y lo de replays , realmente muy interesante.
Espero que los demás miembros del grupo puedan aportar sus ideas y experiencias.

Queda lo de las vulnerabilidades de JVM, que cada vez tiene que ser parchada para evitar infiltraciOnes en el sistema.