¿Qué permitió el ataque a la web Presidencial de Ecuador?
“Cuando los desarrollos son hechos por quienes
no saben de seguridad, pueden dejar
muchas puertas abiertas.” Fausto Loja.
Luego del deface (alteración) a la página de la Presidencia del Ecuador por d4n1ux y su equipo, se conoció que el “ataque” estuvo centrado a los servidores IIS que alojan a este portal.
En mi último viaje a Loja tuve la oportunidad de dialogar con Fausto Loja y Julián Verdezoto, Ingenieros en Sistemas Informáticos y Computación de la Universidad Técnica Particular de Loja, sobre seguridad en servidores IIS y aplicaciones ASP.
¿Qué son las aplicaciones ASP, servidores ISS y deface?
Las aplicaciones ASP son páginas que interactúan con el usuario, permitiendo que el contenido por donde se navega sea creado dinámicamente. Y los servidores IIS son aquellos en los que corren y se alojan a las aplicaciones ASP, permitiendo que estas trabajen. En cambio un deface es la alteración producida a una página, portal o servidor.
Causas de la inseguridad en la página presidencial
La servidores ISS pueden ser atacados por fallos en el sistema operativo utilizado para gestionarlo. En el caso de la página de la Presidencia se utiliza Windows, que no es tan seguro, y eso se manifiesta en la publicación de parches de seguridad (service packs) por parte de Microsoft; además “cuando los desarrollos no son hechos por quienes sepan de seguridad, pueden dejar muchas puertas abiertas”, y esto puede provocar que personas se introduzcan en las aplicaciones y hagan alteraciones, comentó Loja.
Otro error que no debe ser cometido es la activación de las funciones remotas, es decir, no es correcto activar la posibilidad de acceder a las aplicaciones ASP mediante una conexión a Internet. Esto suele hacerse cuando el webmaster oficial quiere manejar las bases desde computadores fuera del sistema ya sea por comodidad o por razones particulares.
Para Julián Verdezoto muchos hackers atacan al OS de Microsoft por ser el más popular y por ser de pago, y “talvez es un error nuestro (de los desarrolladores) mantener aplicaciones en conceptos ideales y no en conceptos críticos como es lo de seguridad.”
Bajo el punto de vista de Verdezoto, en aplicaciones consideradas de bajo riesgo no se suelen tomar en cuenta muchos factores de seguridad al inicio del desarrollo. Y como dijo Loja “existen aplicaciones que las hacemos ‘a la criolla’ y no les damos el toque de seguridad que se merece.”
Links | Julián Verdezoto (blog) | Fausto Loja (blog)
Conceptos | Servidores IIS | ASP
7 Comentarios en “¿Qué permitió el ataque a la web Presidencial de Ecuador?”
Reacciones: Trackbacks y Pingbacks
- Global Voices Online » Ecuador: Security and Privacy Concerns on the Internet
- Global Voices ?? ?????????? » ???????: ??????????? ?? ????????? ? ?????????? ?? ????????
Deja tu comentario
Additional comments powered by BackType
te acuerdas la cara de Di el día del podcast? ahorita estoy asi….
El problema con la mayoría de las páginas web es que son vulnerables, no solamente por que los que desarrollen software no sepan de seguridad, también deben hechar un vistazo a las aplicaciones de desarrollo que utilizan, sean estas .net, ruby, java, etc.
Recuerden nada es exacto, y en realidad todo, o casi todo es vulnerable…..
Soy desarrollador,pero lo que dicen los informaticos de la U DE LOJA es paja, asi es que preguntame a mi lo que quieres saber
Quiero ser un hacker alguno de ustedes me puede dar una mano