miércoles, 27 de agosto de 2014

Identificación del sistema

INTRODUCCIÓN


Mediante este proyecto se pretenden implementar las técnicas desarrolladas por el doctor Donn Parker para apoyar la identificación de delincuentes informáticos de cara a un sistema de información desarrollado. Cabe resaltar que estas técnicas desarrolladas en el año de 1998, y que a lo largo de estos años han sido perfeccionadas debido a la implementación de un gran número no solo de personas sino también de entidades al rededor del mundo.

1. IDENTIFICACIÓN DEL SISTEMA


Para realizar el análisis se ha seleccionado tal vez uno de los sistemas mas usados y mas atacados en el mundo. Es tal vez uno de los CMS(Content Management System) mas usados en el mundo, que ha tenido una gran acogida por los desarrolladores web, y que además a librado a lo largo de su existencia una larga batalla con los delincuentes informáticos a diferentes niveles, desde simples ataques éticos, hasta convertirse en la base de ataques de una magnitud enorme, como ataques DDOS o grandes pérdidas de información basadas en escalamiento de permisos.

Estamos hablando de Joomla, lanzado en el año de 2005, es un administrador de contenidos desarrollado como tecnología libre y con base en tecnologías web libres como lo son PHP, Javascript y MySql (hoy en día comprado por Oracle).

Inicialmente fue pensado como una herramienta simple, que permitiría facilitar la labor de administración a los usuarios de los web sites, y de una u otra manera ampliar las posibilidades de los desarrolladores web. Luego de un tiempo su core y estructura han venido creciendo no solo en su estructura, sino también en su escalabilidad y por ende la cantidad de posibilidades que ofrece es cada vez más amplia, la comunidad de hace día a día más amplia y por ende las posibilidades de ser víctima de un ciber crímen se incrementan.

A nivel de seguridad, sus principales vulnerabilidades son:


  • Desarrollado en ambientes web, lo que de una u otra manera abre las puertas al mundo.
  • Posibilidad abierta para desarrolladores de crear y publicar nuevos plugins, módulos y componentes que se pueden ofrecer al publico abierto.
  • Posibilidad abierta para desarrolladores de crear y publicar nuevas plantillas para las diferentes versiones del CMS.
  • Poco control sobre los su core.
  • Posibilidad parcialmente controlada de registro de usuarios.
  • No exige información cifrada bajo certificados SSL.
  • Archivos de configuración ubicados por defecto en la raíz del directorio púbico del sitio. En estos archivos se pueden encontrar contraseñas de ftp, además de accesos a bases de datos.
  • Carpetas sin protección de ficheros .htaccess para accesos por web indebidos.
  • No tiene por defecto filtros contra inyecciones de código.
  • En general el tema de seguridad depende mucho del desarrollador, para el caso de usuarios novatos, es un tema que pone en alto riesgo no solo la información del CMS, sino también de alguna manera la información del servidor en el que se encuentra alojado.
En general y de una manera muy particular, es un CMS que por su crecimiento tan acelerado, a abierto demasiado sus puertas al mundo de los desarrolladores, lo que de alguna manera es bueno pues como es factible, la acogida de los usuarios ha sido muy positiva, pero por otro lado, se ha perdido de una manera el control de estándares y protocolos de seguridad que día tras día pueden dejar huecos grandes de seguridad.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)