WR 29: El día del juicio final (del software libre)
¿Cómo puedo estar protegido ante los fallos de seguridad de una plataforma de software? El caso del 28 de Marzo es un ejemplo de práctica transparente y aquí te lo cuento.
La imagen que ilustra este episodio es el reloj del apocalipsis, que mide el tiempo que queda par el día del juicio final. Verás la imagen si compartes este contenido en una red social.
El mundo se acaba ante un fallo de seguridad, ¿o no?
Casos como el de Facebook o Google son muy globales, pero en el software libre (y en el no tan libre) la actitud transparente y práctica antes ante fallos de seguridad nos ayudan a entender el potencial de esta comunidad.
Si quieres saber si el mundo se acaba, pulsa en el play que tienes ahí arriba.
Recomendaciones ¶
Para empezar os recomiendo dos cosas diferentes
- Yandex Metrica. El competidor ruso de Google Analytics que te ofrece gratis mapas de calor de scroll, clicks y puntos de click, entre otros recursos estadísticos para tu web.
- Earth View from Google Earth. Extensión para Google Chrome, una foto espectacular (siempre) del planeta tierra cada vez que abres una nueva pestaña. Puedes ver las fotos en su galería.
¿Quieres mejorar como programador o desarrolladora?
Suscríbete ahora mismo a la Reactivísima y tendrás un regalo directo -> ¡Quiero suscribirme!
Cómo afrontar fallos de seguridad en software libre ¶
El pasado 28 de Marzo se publicaba una vulnerabilidad grave del core de Drupal, con un código que pasará a la historia: SA-CORE-2018-002
Un problema de seguridad de este calibre no es sólo una cuestión de Drupal. Debemos aprender a gestionar este tipo de fallos y este es un ejemplo de cómo hacerlo.
Nos enfrentamos por tanto a un agujero inmenso de seguridad. ¿Sería mejor entonces olvidarse de todas estas plataformas de software libre y programar la nuestra?
Si sería una opción, pero entonces, ¿no te perderías la oportunidad de que una comunidad entera probará la seguridad de tu sistema por ti?
Porque es lo que ocurre, este fallo de seguridad que vamos a comentar lo descubrió una persona ejecutando test de seguridad sobre un CMS y nos vamos a beneficiar todos los que la usamos de lo que ha encontrado.
Y probablemente al destapar el funcionamiento de la vulnerabilidad otros responsables de seguridad de tecnologías propietarias o hechas a medida también hagan estas pruebas sobre sus sistemas y, quizás, descubran que también tienen ese problema y tienen que solucionarlo.
Cómo calcular el peligro de un fallo de seguridad ¶
La gente de Drupal Security lo hace muy bien utilizando parámetros del instituto NIST. Una traducción libre de ese checklist sería este:
- ¿Cómo es de difícil es para el atacante aprovechar la vulnerabilidad?
- ¿Qué nivel de privilegio se requiere para que el ataque sea un éxito?
- ¿Esta vulnerabilidad hace que los datos privados sean accesibles?
- ¿Puede permitir esta brecha de seguridad que los datos del sistema se vean comprometidos?
- ¿Existe un caso conocido del ataque?
- ¿Qué porcentaje de usuarios se ven afectados?
La puntuación para este caso de Drupal era 21 sobre 25, altamente crítico. Afortunadamente resuelto el mismo día 28. ¡Actualiza ya tu Drupal! Da igual la versión.
Recursos citados en el programa ¶
- Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal
- ControllerBot Issue
- CVE
- Exploit-DB
- CERTSI
- National Vulnerability Database
- Una al día de Hispasec
- SA-CORE-2018-002
- Security risk levels defined
- Drupal Patch Party
- More details on Drupal SA-CORE-2018-002
- Reloj del apocalipsis
Resultados de la encuesta sobre fondos de pantalla ¶
Trabajamos mucho delante del ordenador. Bien sea programando, editando, moviendo datos… Y quería saber vuestras preferencias sobre el fondo de la pantalla y el color del texto.
El resultado de la encuesta fue este:
Era un resultado esperado, que ganara el fondo oscuro y la letra clara.
Pero parece que no es lo mejor para nuestra agudeza visual según comentan en este artículo de Ocularis.
El asunto está ahora en quién cambia sus costumbres para mejorar la agudeza y, probablemente, su salud visual.
Parece que os gustó la encuesta así que publicaré más encuestas en el canal de telegram.
Muchas gracias si nos dejas una reseña 5 estrellas en itunes, también conocido como Apple Podcast ¡Gracias!
Encuéntranos como siempre en twitter como @webreactiva y en el canal de telegram t.me/webreactiva.
El próximo martes, ¡entrevista!
Escrito por:
Daniel Primo
12 recursos para developers cada domingo en tu bandeja de entrada
Además de una skill práctica bien explicada, trucos para mejorar tu futuro profesional y una pizquita de humor útil para el resto de la semana. Gratis.