Los problemas de configuración o configuraciones por defecto pueden comprometer un sistema completo. Es importante configurar de forma personalizada los componentes que se utilizan y evitar usar configuraciones genéricas. Las configuraciones incorrectas de seguridad no están exentas a ningún sistema tecnológico, como los servicios de red, la plataforma, el servidor web, el servidor de aplicaciones, […]
Los problemas de configuración o configuraciones por defecto pueden comprometer un sistema completo. Es importante configurar de forma personalizada los componentes que se utilizan y evitar usar configuraciones genéricas.
Las configuraciones incorrectas de seguridad no están exentas a ningún sistema tecnológico, como los servicios de red, la plataforma, el servidor web, el servidor de aplicaciones, la base de datos, frameworks, el código personalizado y máquinas virtuales preinstaladas, etc.
Las configuraciones erróneas de seguridad aún abundan en muchas aplicaciones web. No actualizar aplicaciones/software (el sistema operativo, las bibliotecas de códigos, el servidor de aplicaciones / web, la base de datos) es sólo una de las causas de errores de configuración de seguridad, ya que hay muchas otras: Por ejemplo, las cuentas y contraseñas predeterminadas aún están disponibles, o no se han modificado, el manejo de errores no está configurado correctamente dando como resultado la fuga de información sensible. Servicios innecesarios, puertos. Entre muchos otros problemas.
Las configuraciones erróneas de seguridad lógicamente se pueden reducir. Primero, hay que partir asegurándose de tener entornos reforzados idénticos (desarrollo, control de calidad y producción), además de verificar tener implementado un proceso de administración de parches que no solo aborde parches en el sistema operativo, DB y aplicaciones, sino también en las bibliotecas de códigos que se utilizan para el aplicaciones. Una auditoria periódica ayudará bastante para asegurarse que la organización esté al tanto de actualizaciones faltantes.
OWASP nos muestra algunos ejemplos en el siguiente listado:
Ejemplos concretos son: S3 buckets abiertos, cabeceras HTTP mal configuradas, mensajes de error con contenido sensible, falta de parches y actualizaciones, frameworks, etc.
Los escáneres automatizados son útiles para detectar configuraciones erróneas, el uso de cuentas o configuraciones predeterminadas, servicios innecesarios, opciones heredadas, etc.
Además de los siguientes puntos:
Por lo general intentará explotar vulnerabilidades que no han sido parchadas, o acceder a cuentas por defecto, páginas no utilizadas, archivos y directorios desprotegidos, etc. de este modo obtendrá acceso o conocimiento del sistema.
A modo general, se recomiendan las siguientes medidas de mitigación:
En la segunda semana del Mes Nacional de la Ciberseguridad, te contamos cuáles son los peligros y amenazas a los que están expuestos nuestros datos y sistemas que forman parte del ciberespacio, para que sepas cómo protegerlos y asegurarlos.
El 17 de octubre de 2018 se realizará una jornada de entrenamiento y hacking en la Universidad Mayor. El evento se desarrollará en el Campus Manuel Montt, y está orientada a estudiantes. Durante la mañana se realizarán entrenamientos y por la tarde se pondrá en práctica lo aprendido.