Categories
Seguridad WordPress

WordPress, tres años después

WordpressAunque nunca haya sido un gran colaborador de WordPress, recuerdo que desde los primeros tickets que abrí relacionados a su seguridad, llegué a conocer relativamente bien el código que formaba parte de las versiones 2.0.x a 2.3.x. Solía seguir de manera regular los cambios que se iban haciendo y reporté unas cuantas fallas de seguridad.

Por esos azares de la vida, el 2008 tuve que abandonar todo. Incluyendo familia, amigos, ciudad, país y obviamente las actividades que solía hacer. Seguramente podría haber continuado, pero lamentablemente nunca se dieron las condiciones. En la segunda mitad del 2009, me contactaron para auditar el código de WordPress y una lista de los plugins más usados --- no recuerdo exactamente que versión era. Llegué a enviar en privado unos cuantos fallos, uno que permitía subir archivos php y otros típicos XSS o CSRF. Tuve que abandonar ese trabajo porque, aunque había compensación económica de por medio, requería demasiado tiempo y en ese entonces, eso era lo que más me faltaba.

Este año, concretamente desde hace menos de un mes, he estado viendo un poco de código. Por lo que he podido ver, los desarrolladores del núcleo suelen poner un poco más de énfasis en la seguridad. Si bien esto es un indicador bastante positivo, hay que ser consciente también que las nuevas funcionalidades implican la aparición de nuevos problemas, o principalmente de nuevas formas de aprovechar (¿alguna traducción mejor para exploit?) las fallas de seguridad. El código es más complejo que antes y un cambio inocuo en una parte del código, puede ser la causa de un problema serio en otro lado. Sin embargo, tampoco hay que desesperar. Al ser un proyecto con una comunidad bastante grande, siempre habrán ojos que descubran este tipo de fallos y que nos permitan gozar de un blog relativamente más seguro.

Estén atentos los días a venir, antes de la publicación de la versión 3.2, se viene una actualización menor que corregirá algunos problemas de seguridad, unos serios y otros algo más triviales.

Categories
Varios

Pequeño susto

Últimamente me ha dado por darle una mirada a los vestigios de este blog, para ver si durante los más de tres años de ausencia no se ha colado nada raro, como nos sucedió años atrás. Simplemente para ver si no se le escapó nada al gran Braulio.

Mientras estaba viendo las utilidades que provee el panel de administración de nuestro hosting, me dió por probar primero si había por ahí algún virus. Así que sin perder más tiempo ejecuté ClamAv, todo parecía andar bien hasta que me salen algunos reportes indicando la presencia de algunos exploits en los backups de nuestra base de datos, como pueden ver en la imagen.

Con un poco de angustia y temiendo algo malo veo que el exploit ese estaba relacionado al bug SA22542 de Internet Explorer 7. Una búsqueda del exploit relacionado, me da algo concreto para poder buscar dentro de nuestra base de datos. La calma vino cuando me di cuenta que fui yo quien había publicado una copia del exploit hace bastante tiempo. 😀

Como lamentablemente no tenemos acceso por SSH, seguramente tenga que descargar todo para hacer la limpieza, probablemente la semana que viene o quien sabe, tal vez se me pasen las ganas 🙂 . Por el momento, he estado colaborando nuevamente con el equipo de WordPress en ciertos temas. En una siguiente entrada comentaré seguramente mis impresiones sobre el código y tal vez algunas de las correcciones que estarán presentes en la siguiente versión menor, me refiero a la 3.1.3.

Categories
Miniposts Seguridad

Seguridad de las compras en línea

Interesante artículo (pdf) donde comentan algunas fallas de algunas plataformas de comercio electrónico. Recuerdo que hace unos años, me había tocado integrar ese tipo de cosas en aplicaciones existentes. En ese entonces habían bastantes cosas que las daba por seguras, haciendo evidentemente la aplicación propensa a los problemas que se describen en ese artículo.

Ahora veo necesario el uso de herramientas que permitan verificar formalmente este tipo de protocolos, si bien es cierto que puede que no sea perfecto o que haya errores al definir los modelos, al menos da cierto grado de garantía de que las propiedades que se prueban en este tipo de herramientas, se mantienen.

Categories
Seguridad

Seguridad: software libre vs software privativo

Si bien es cierto que llevo desfasado en temas de seguridad y que seguramente soy uno de los menos indicados para hablar de estos temas, me llama mucho la atención cuando alguien opina sin mucho conocimiento del tema en cuestión. Esta vez, en la lectura que suelo hacer diariamente, encontré un artículo que habla sobre la seguridad de software libre, aunque erróneamente el título parezca indicar que sólo se refiere a WordPress.

El problema es que el modelo de código abierto permite que hackers y casi cualquier otra persona se pueda dar el lujo de excavar hasta llegar al núcleo del código de todos los foros y blogs que funcionan a través de dicha plataforma, permitiéndoles descifrar múltiples maneras de irrumpir en la sagrada información de sus usuarios.

¿Qué hacer al respecto?

Hay tres cosas que puedes hacer si no puedes soportar las debilidades del sistema open source:

  1. Utilizarlo, pero pagarle a alguien más para que te lo mantenga.
  2. Utilizar un servicio de código cerrado y ser estricto para mantenerlo así.
  3. Constrúyalo usted mismo. Haga uso de su conocimiento para evitar que otras personas puedan tener algún tipo de influencia sobre la vulnerabilidad de su información.

Yo diría que muchos se ahogan en un vaso de agua, porque olvidamos que el código abierto es por naturaleza vulnerable a hacks, ataques de "gusanos informáticos" y cualquier otra variedad de amenaza que la web nos ofrece hoy en día. Mientras el código esté expuesto, el proyecto que se proponen muchos de romperlo y penetrarlo suena tanto divertido como perverso, pero es algo que todos nosotros ya debimos de haber entendido hace un buen rato, para evitar todo el barullo que se suele hacer en torno al tema de seguridad.

El autor del artículo usa la típica falacia de que si el código está disponible para todos, entonces es más inseguro. En el poco tiempo que me involucré en el tema de seguridad, me quedó bastante claro que si alguien está determinado a vulnerar tu aplicación o sistema, lo va hacer independientemente de si el código está disponible o no.

En mi opinión, creo que la mejor forma de hacer que las aplicaciones de software libre sean más estables, es que justamente seamos nosotros, los usuarios, los que participemos en este proceso identificando bugs, ayudando a otros a mantenerse actualizados o, si no se cuentan con el tiempo o conocimientos necesarios, colaborando económicamente.

Categories
Miniposts

Bug sacado del baúl de los recuerdos…

Resulta que el bug de Graffiti CMS del que hablaba hace algún tiempo, resultó finalmente ser un problema de FCKeditor.