 Los Bugs son agujeros de seguridad , un error de
software o computer bug, que significa bicho de ordenador. El término bug fue
acreditado erróneamente a Grace Murray Hopper, una pionera en la historia
de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para
describir defectos en sistemas mecánicos por el año 1870.
Los mas comunes son estos:
1-
Agujeros de seguridad físicos.
2-
Agujeros de seguridad en el software.
3-
Agujeros de seguridad de uso incompatible.
4-
Elegir una filosofía de seguridad adecuada y mantenerla.1-
Agujeros de seguridad físicos
Cuando el problema potencial, esta causado debido al hecho de dar a personas
sin autorización, acceso físico a la maquina, cuando esto les permite realizar
cosas, que no deberían ser capaces de hacer.
Un buen ejemplo de esto podría ser una sala pública, con estaciones de trabajo,
donde seria facilísimo para un usuario, el reiniciar una maquina en modo
mono-usuario y trastear con los archivos de la estación de trabajo, si no se
tomasen precauciones.
Ejemplos:
Ejemplo de
esto es la necesidad de restringir el acceso a cintas backup confidenciales,
que de otro modo podrían ser leídas por cualquier usuario con acceso a las
cintas y con una unidad de cinta, independientemente de si tuvieran o no
permiso.
Por ahora uno de los hackers mas peligrosos en las empresas son los propios
usuarios.
Recomendaciones
para solucionar estos problemas:
Controlar
los ordenadores con configuraciones restrictivas, siempre buscando el
equilibrio perfecto entre la seguridad y la libertad de acción del usuario, un
ejemplo de esto seria aplicar las directivas de grupos en los dominios de
Windows.
2 - Agujeros de seguridad en el software
Cuando el problema esta causado por una mala escritura de partes
"privilegiadas" de software que pueden estar comprometidos a realizar
tareas que no deberían.
Ejemplos:
Un ejemplo es la explotación de algunas vulnerabilidades de phpbb2 para entrar
como admin. o reenviar a todos los usuarios a otra Web.
Recomendaciones para solucionar estos problemas:
- Tratar
de estructurar tu sistema de forma que el menor software posible con
privilegios corra en tu maquina, y que el que lo haga sepamos que sea robusto.
- Suscribirse a una lista de mail para poder tener lo antes posible información
con detalles acerca de problemas y/o parches, y actuar en cuanto la tengas.
- Cuando instales/actualices un sistema dado, trata de instalar/habilitar solo
aquellos paquetes de software por los que tengas una necesidad inmediata o
previsible, mantén un historial de las actualizaciones e intenta tener claro
que parte es la que afecta a cada parte.
3 - Agujeros de seguridad de uso incompatible
Cuando, a través de la falta de experiencia, o no por fallo suyo, el
administrador del sistema reúne una combinación de hardware y software y esta
es usada como un sistema, estar seriamente dañado desde el punto de vista de la
seguridad. Es la incompatibilidad de intentar hacer dos inconexos pero útiles
actos lo que crea agujeros de seguridad.
Recomendaciones
para solucionar estos problemas:
Problemas
como este son muy difíciles de encontrar una vez que el sistema esta creado y
funcionando, así que es mejor el crear el sistema con ellos en mente (fallos).
Aunque nunca es tarde para volver a pensarlo.
4 - Elegir una filosofía de seguridad adecuada y mantenerla
El cuarto tipo de problema de seguridad es el de la percepción y el
entendimiento. Software perfecto, hardware protegido, y componentes compatibles
no funcionan a menos que hayas elegido una política de seguridad correcta y que
hayas puesto en marcha las partes de tu sistema que la refuercen.
Tener el mejor mecanismo de password del mundo es inútil si tus usuarios creen
que la última parte del nombre de su login es un buen password! La seguridad
esta relacionada con una política (o conjunto de políticas/normas) y el
funcionamiento de tu sistema conforme a dicha política.
Recomendaciones
para solucionar estos problemas:
Formar a
los usuarios de tu sistemas no los subestimes ni tampoco los sobrevalores. |
