lunes, 21 de abril de 2014

[Blog de D. Carracedo] 'Apostando por la seguridad'

'Los datos del número de servidores, que han sido objeto de polémica estos días, también son totalmente estimados, sea cual sea el método que se use para recabar la información.

Unos han usado netcraft, otros zmap, shodan, o una combinación de todo eso, pero los datos siguen siendo estimaciones basadas en los banners que usan los servidores, sin tener en cuenta que el banner puede mentir, o puede haber un proxy en medio que se ocupe de la negociación SSL (es decir, es perfectamente posible que un sitio web alojado en un IIS se vea afectado por usa nginx como proxy inverso), ni han tenido en cuenta el resto de software y appliances que usan la librería.

Pero mi reflexión va un poco más allá, porque realmente los temas de números no me importan demasiado

Voy a hacer una suposición, supongamos que solo tres servidores han sido afectados (que lo han sido): google, facebook y yahoo.

Supongamos también que el bug solo se ha podido usar unas horas (yo lo he podido usar más de un día antes de ver sitios enormes parcheados, pero bueno, supongamos), vamos a poner que se ha podido usar 8 horas, y que solo un grupo reducido de personas ha tenido acceso a el, que tampoco ha sido el caso.

Alguien me podría decir suponiendo todo eso, ¿cual es la probabilidad de que mis usuarios en esos tres servicios hayan sido afectados? ¿el certificado SSL ha sido comprometido? durante ese tiempo ¿he podido ser víctima de un MiTM con ese certificado robado?, si alguien tenía una captura de mi tráfico cifrado ¿ha podido descifrarlo con ese certificado robado?

¿Importa esta probabilidad?'


'
Así que nada, exactamente no se a que viene esta tendencia de reducirlo todo a números y llamar a la calma-pasividad por la probabilidad supuestamente de que haya pasado algo, pero ¿y si ha pasado?, tampoco entiendo que se hable de "solo X servidores" cuando solo uno de ellos tiene las credenciales de 800 millones de usuarios, solo con que yahoo hubiera sido el único afectado, esto seguiría siendo gravísimo.

Total, que esto debe ser la nueva tendencia, es lo que se llama apostar por la seguridad, es decir, pasen señores y hagan sus apuestas a ver si sus datos están afectados o no en este nuevo bug basándonos en estas nuevas estadísticas que tenemos por aquí fresquitas, bienvenidos a la seguridad probabilística.'

Fuente y texto completo: El Blog de David Carracedo 16/04/2014


Entradas relacionadas:

No hay comentarios: