domingo, 4 de noviembre de 2018

Sino encuentros fallos de seguridad en una web ¿significa que no tiene fallos de seguridad?

NO. Esta es una pregunta que se suele hacer a veces la gente que está empezando y público de algunas conferencias. No, que no encuentres fallos de seguridad no significa que esa web no tenga fallos, solamente que no has sido capaz de demostrar que tiene fallos, que es una cosa distinta.


Esto es como la ciencia, que no se demuestre algo, no significa que ese algo no exista, sólo que no hay evidencias de que exista o que no hemos sido capaces de demostrarlo porque el tema sea mucho más complejo. Aquí igual.

Pero además hay una cuestión aún más compleja. Y es que muchas veces las webs no son los sitios que más información tienen, o al menos no los que más información relevante tienen. Y de esto hablo por experiencia.

Una cosa es tener un pequeño servidor con una web en la que más que nada se informe a la gente sobre los servicios que de la empresa en cuestión o que incluso ofrezca esos servicios como pueda ser el caso de una web de un banco, pero claro, en el caso de webs de bancos, es de ilusos pensar que los bancos ponen todos los huevos en la misma cesta. Es decir, un banco pondrá por un lado los datos de los clientes y por otro lado los datos de las propias surcusales.

No digo que todos los bancos funcionen igual, sino que me he encontrado quienes lo hacen así, de tal forma que segmentan mucho el tráfico y además las operaciones entre bancos se hace de otra forma distinta, con otros servidores tras una VPN y a la que es de difícil acceso.

Por esta razón, si estás curioseando en una web, no te preocupes si no encuentras fallos. A lo mejor sí que debes preocuparte un poco (por tu labor como auditor) si no encuentras ningún fallo en una auditoria en la que te den un esquema y un overview genérico y te digan para qué se utiliza cada servidor.

Ojo, puede que si en este caso no encuentras fallos sea porque a lo mejor no sabes lo suficiente o porque simplemente la organización de esa empresa está muy bien fortificada, pero también digo que esa organización está bien fortificada (y no segura al 100%) en ese tiempo, nada te asegura que 2 horas después lo siga estando, por esta razón la seguridad debe ser algo continúo en el tiempo.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...