Robert “RSnake” Hansen es un reconocido experto en seguridad digital, director ejecutivo y / o fundador de varias empresas de éxito, incluidas Outside Intel y Smart Phone Exec. También es miembro de la junta de algunas empresas de tecnología interesantes, como Data World y FunCaptcha.
Namecheap tuvo la oportunidad de pedirle que brindara una descripción general de la seguridad en línea y algunas de las mejores prácticas para asegurar su presencia digital.
Con el desarrollo de la Web en 1991-1992, vimos un cambio en el acceso a Internet. Los navegadores han introducido nuevos problemas de seguridad. ¿Cuándo se produjo la primera infracción web importante y cómo se hizo?
RSnake: Es muy difícil decir cuál fue el más importante, pero probablemente el más conocido fue cuando el gusano Samy MySpace tomó el control y destruyó MySpace. Fue tan prolífico que sus servidores simplemente no pudieron manejarlo. Su creador sabía que sería exponencial pero terminó acaparando más de un millón de usuarios activos. Usó un exploit simple y conocido llamado Cross Site Scripting. Siempre habíamos especulado que podría ser tan malo como lo hizo, pero creo que realmente abrió los ojos de la gente y puso mucho más escrutinio en los navegadores.
Desde una perspectiva de seguridad, ¿cuál sería su cronograma para las infracciones materiales frente a la retroalimentación y el desarrollo de programas para abordar problemas crecientes?
RSnake: En términos generales, la línea de tiempo depende de si el oponente es ruidoso o no. Si el adversario simplemente está extrayendo datos de una base de datos, pueden pasar semanas, meses o incluso años antes de que alguien se dé cuenta. Casi siempre se nota, generalmente cuando los datos se venden en el metro. Pero cuando eso sucede, generalmente es una carrera para salir adelante desde el punto de vista de las relaciones públicas. Esto generalmente implica coordinación legal, aplicación de la ley, desarrolladores / operaciones y relaciones públicas.
¿Cuándo se desarrolló el primer firewall y cuál es la calidad de los que se utilizan actualmente?
RSnake: Los firewalls existen desde hace más de dos décadas. Su objetivo inicial era aislar la red. Poco a poco se puso cada vez menos de moda porque las redes modernas son muy permeables. Jeremiah Grossman y yo inventamos el ataque en el que se podía usar un navegador para secuestrar dispositivos internos, que permanece sin cambios hasta el día de hoy.
Otro ejemplo es que casi cualquier cosa se puede tunelizar a través de HTTP / HTTPS. Entonces, si puede tunelizar TCP sobre HTTP, puede hacer prácticamente cualquier cosa. Lo que realmente parece estar haciendo en la mayoría de las empresas en estos días es aislar grupos de máquinas que tienen una funcionalidad similar. Entonces su DMZ estará llena de máquinas de producción. Los ordenadores de su equipo de RRHH están aislados del resto de la empresa, etc.
¿Qué medidas de seguridad recomiendan para los negocios online?
RSnake: Depende de cómo quieran volverse draconianos. Las herramientas que funcionan mejor son las más drásticas. Por ejemplo, las aplicaciones de la lista blanca son un gran obstáculo para las infecciones de malware, pero significa que las personas no pueden volver a instalarlas.
Entonces, como término medio, lo que me gusta decirle a la gente es: “Asuma siempre que cualquier máquina se verá comprometida y luego realice otro control de seguridad para protegerse contra esa eventualidad”. Por ejemplo, supongamos que desea evitar que alguien comprometa un servidor web. Quizás comenzaría con algo que evite que el servidor escriba en el disco desde el punto de vista del software. Bueno, si ese control está en su lugar pero hay una vulnerabilidad, debería haber algo más que lo proteja.
¿Qué pasa si utiliza algo como un monitor de integridad de archivos además de eso, para validar que no se realizaron cambios en el sistema de archivos en ningún momento?
RSnake: Sería un buen paso si esta primera comprobación fallara. Nada es perfecto, pero si trata cada cheque como una sola pieza del rompecabezas general en lugar de ser la totalidad de sus controles de seguridad, estará mucho más seguro. Si desea una lista de verificación real, me temo que llevará días redactarla. Sí, es tan complicado (hacerlo correctamente). Pero existen organizaciones como OWASP y WASC que ayudan a las empresas a comprender el panorama de las amenazas. Ambos son grandes referencias para empezar.
¿Existen diferentes niveles de seguridad para diferentes tipos de sitios web?
RSnake: Absolutamente. Si no le importa si un sitio se cae o es pirateado, digamos que es un sitio afiliado delgado o algo así, ¿por qué molestarse en invertir tanto en su protección? O si sabe que necesita proteger un sitio afiliado ligero, conviértalo en contenido estático, de modo que no haya posibilidad de ataque a través de la interfaz web. Esto limita a un adversario a ataques de ingeniería social, host o de red. Todo depende.
¿Qué tan efectivos son los certificados SSL? Entre los tres tipos principales de SSL (OV, DV, EV), ¿qué tipo de sitios deben usar qué tipo de certificado?
RSnake:. Ha habido docenas de ataques de canal secundario contra SSL / TLS a lo largo de los años…. Dicho esto, el beneficio real de SSL / TLS es que limita principalmente lo que un atacante puede ver e inyectar en el flujo de datos.
Entonces, por ejemplo, los ISP malintencionados no pueden inyectar anuncios publicitarios cuando las personas se conectan a su sitio web si está utilizando HTTPS, para proteger su flujo de ingresos. También limita lo que puede ver un atacante promedio. Pueden decirle a qué sitio va, cuánto tiempo ha estado allí y pueden recopilar algunas de las páginas en las que ha estado (la página de inicio y la última página que visitó antes de hacer clic en un enlace a .otro sitio web) probablemente no puedan leer el texto real de la mayoría de las páginas. Entonces, para cosas como cuentas bancarias o sitios de redes sociales, SSL / TLS es muy útil.
En última instancia, los certificados de validación extendidos tienen más sentido en sitios donde la confianza es un factor importante en la forma en que las personas usan un sitio y, por lo tanto, la barra verde en la parte superior podría ayudar a las conversiones.
Busque un certificado que se pueda configurar fácilmente para renovarse automáticamente, lo que reduce significativamente los gastos generales y el riesgo de interrupciones accidentales. De cualquier manera, recomiendo usar SSLLabs para asegurarse de que su configuración sea segura una vez que el certificado esté en su lugar.
¿Qué consejo le daría a los usuarios de varios sitios web para mantener su información lo más segura posible?
RSnake: No les dé más datos de los necesarios; si no tiene que usar su nombre real, su dirección real y su dirección de correo electrónico principal, no lo haga. Nunca use la misma contraseña: es peligroso y, a menudo, así es como los atacantes cambian a otros sitios. Utilice autenticación de segundo factor, como pines basados en SMS, Duo Security o Google Authenticator, que facilita la reutilización de contraseñas y reduce en gran medida el riesgo de ataques de fuerza bruta.
Utilice un bloqueador de anuncios porque limita drásticamente las cosas malas que puede hacer. Recomiendo usar el software Sandboxie gratuito para usuarios de Windows, que limita lo que el malware puede hacer una vez que infecta su máquina. Para Mac, existe un software llamado Little Snitch que le indica cuándo su máquina está haciendo llamadas salientes incorrectas. Hay muchos otros consejos que pueden limitar la exposición, pero es un buen comienzo.
¿Qué opinas de las opciones de CMS que se utilizan actualmente para crear sitios web? ¿Son más seguros que los sitios creados con HTML estático?
RSnake: Los CMS nunca serán tan seguros como los sitios web estáticos, pero es un riesgo que la mayoría de las empresas están dispuestas a afrontar. Es un compromiso de costo / beneficio. La mayoría de las empresas simplemente no quieren editar archivos HTML manualmente. Especialmente cuando tiene grandes proveedores que pueden hacer toda la administración y las correcciones por usted.
¿Por qué molestarse en mantener y aprender HTML / CSS cuando puede beneficiarse del arduo trabajo de otros? Por supuesto, esto tiene un costo de flexibilidad y seguridad, pero la mayoría de las veces, vale la pena para las empresas. Es por eso que WordPress, por ejemplo, es una parte tan importante de toda la web.
Si estoy usando WordPress, ¿qué complementos de seguridad me recomiendan? ¿Y qué tan importante es actualizar sus versiones de WordPress y PHP?
RSnake: Hay un complemento de encabezados de seguridad que permite a los usuarios habilitar diferentes encabezados HTTP de seguridad, como X-Frame-Options, Strict-Transport-Security, Content-Security-Policy, etc. Esto mejora enormemente la seguridad de un sitio sin mucho esfuerzo. También me gusta el complemento Google Authenticator que agrega autenticación de segundo factor a la consola de administración para los blogs.
Y, por supuesto, FunCAPTCHA, porque deshacerse de los robots de spam / malware es fundamental. En lo que respecta a los elementos externos, Securi ha hecho grandes avances en los últimos años, sería negligente si no los mencionara.
Le recomiendo que actualice su sitio con tanta regularidad como pueda. No ha habido buenos exploits en el kernel de WordPress o PHP durante bastante tiempo, pero hay exploits regulares en los complementos. Por lo tanto, mantener la cantidad de complementos al mínimo y asegurarse de que estén actualizados es clave.
¿Crees que la web es más segura hoy que antes? ¿Hay alguna nueva tecnología en desarrollo que ayude a que la Web sea más segura?
RSnake: La web es ciertamente mucho menos segura hoy que hace años, pero eso se debe enteramente al crecimiento explosivo de la complejidad. Creo que parte del problema de los sitios modernos es que son muy frágiles y dependen de tantas dependencias externas.
Si puede mantener estas dependencias al mínimo, aumentará enormemente su seguridad, de la misma manera que el HTML estático es más fácil de proteger que algo que toma y almacena datos. Esta complejidad adicional es lo que hace que las cosas sean mucho menos seguras y mucho más difícil de crear modelos de amenazas. Siempre hay nuevas tecnologías que hacen que las cosas sean más seguras.
Por ejemplo, empresas de procesamiento de tarjetas de crédito de terceros como PayPal y Stripe, o autenticación de segundo factor, o firewalls de aplicaciones web, etc. Creo que todo esto mueve la aguja, pero tan rápido como parecemos encontrar una solución, verá a los desarrolladores trabajando en lo que sea que perciban como un obstáculo para su progreso. Así que es en gran parte un juego del gato y el ratón.
Obtenga más información sobre las opciones de certificados SSL de Namecheap. ¡Tenemos uno para cada sitio web y para cada presupuesto!
