martes, 16 de agosto de 2011

Anonymous: Los 10 mandamientos para ser hackeado

No lo había mencionado en mis anteriores entradas, pero soy un fan del sistema de administración de contenidos web (CMS) más popular de la Internet: Joomla! y modestia aparte soy uno de los primeros profesionales en Ecuador en confiar y emprender proyectos web con este fabuloso CMS desde su versión más temprana 1.0 con la cual implementé desde intranets para la gestión del conocimiento hasta portales web con las versiones más recientes 1.5 y 1.6.


Lo que me ha motivado a escribir este post en mi blog, en el cual también trato temas de tecnologías de la información y la comunicación (TIC), es el observar cómo sitios web de Ecuador soportados por Joomla! han venido siendo tomados por un grupo de hackivistas autodenominados "Anonymous".


Por un lado, estos hechos evidencian que el tema de cuidar la seguridad de un sitio web es un cuento de nunca acabar y por otro que ciertas instituciones y sus directivos no están comprometidos en otorgar mayor seriedad a la administración de sus herramientas de comunicación digital, creando estructuras departamentales que únicamente se preocupan de alimentar los sitios web con contenidos frescos (Gestores de Contenidos), pero no del mantenimiento técnico, operatividad y programación de estos mediante la contratación de un especialista o webmaster, si así lo hicieran, garantizarían en cierto grado la seguridad, integridad y disponibilidad de estos canales de comunicación digital.


Considero que cuando no se toman estas decisiones se dan por tres razones fundamentales: ignorancia, no estar prestos a escuchar recomendaciones y descuido.



A continuación deseo compartir la traducción al español de este interesante documento "Top 10 Stupidest Administrator Tricks" -El top 10 de los trucos de administradores más tontos- elaborado por Joomla para los Webmasters y que resume 10 interesantes recomendaciones irónicas sobre qué es lo que se debe hacer para que tu sitio web sea hackeado. Por esta razón las he denominado "Los 10 mandamientos para ser hackeado" Debo confesar que este documento lo leí luego de que un sitio web bajo mi responsabilidad fuera hackeado años atrás, pero desde entonces no me ha vuelto a ocurrir. ;)



Los 10 mandamientos para ser hackeado


10. Utiliza el proveedor de hosting más barato que puedas encontrar.
Es preferible utilizar un servidor compartido (shared server) que aloja cientos de otros sitios, algunos de los cuales son sitios de pornografía y por ende de alto tráfico. No revises la lista de proveedores de hosting recomendados.


9. No pierdas el tiempo con respaldos de seguridad (backups) periódicos.
Tal vez tu proveedor de hosting te ayudará.


8. No pierdas el tiempo ajustando las configuraciones de PHP y Joomla! para una mayor seguridad.
Hey, la instalación fue pan comido -súper fácil-. ¿Qué cosa mala podría suceder después? Preocúpate de esos detalles sólo cuando haya un problema.


7. Utiliza el mismo nombre de usuario y contraseña para todo.
Utiliza el mismo nombre de usuario y contraseña para tu cuenta bancaria on-line, tu cuenta de administrador de Joomla! , tu cuenta en Amazon, tu cuenta de Yahoo, etc. Oye, ¿quién tiene tiempo para realizar un seguimiento a tantas contraseñas? Y como no cambias tus contraseñas, es más fácil usar la misma todo el tiempo, en todas partes.


6. Instala tu nuevo, hermoso y poderoso sitio web hecho con Joomla! y celebra el trabajo bien hecho.
No te preocupes por eso otra vez. Después de todo, si no realizas más cambios, ¿qué puede salir mal?


5. Aplica todas las actualizaciones de seguridad en el sitio web en producción inmediatamente
¿Quién necesita un servidor de desarrollo y de pruebas de todos modos? Si una instalación no funciona, simplemente la desinstalo de nuevo. Eso también deshacerá cualquier daño que haya causado la instalación.


4. Confía en las extensiones de terceros.
Instala todas las cosas interesantes que puedas encontrar. Cualquier persona lo suficientemente inteligente como para desarrollar una extensión de Joomla! proporcionará un código perfecto que bloqueerá todo intento de explotar vulnerabilidades en el sistema, ahora y siempre. Después de todo, casi todo este material se ofrece de forma gratuita por personas bien intencionadas, de buen corazón que saben lo que están haciendo.


3. No te preocupes de la actualización a la última versión de Joomla!
Hey, nada ha ido mal hasta ahora, y si no está roto no lo arregles! El mismo plan de las extensiones de terceros. Demasiado trabajo, la vida es una playa!


2. Cuando tu sitio sea hackeado, traslada tu pánico a los foros de Joomla!
Inicia un nuevo post con un título muy familiar: "Mi Sitio ha sido hackeado" Asegúrate de no dejar la información pertinente, como las versiones obsoletas de Joomla! y extensiones de terceros que hayas instalado.


1. Una vez que tu sitio ha sido hackeado, corrige el archivo index.php modificado y asume que todo lo demás está bien.
No consultes los registros, cambia tus contraseñas, elimina todo el directorio y restaura las copias de seguridad previas, o toma cualquier otra acción excesivamente paranoica. Cuando los atacantes vuelvan al día siguiente, grita en voz alta que has sido "hackeado otra vez", y todo es culpa de Joomla! Ignora el hecho de que la eliminación de un archivo modificado no es ni siquiera el primer paso en el difícil proceso de recuperación de un sitio totalmente hackeado.


Traducción al español: Carlos Bulmaro Espinoza Parra


Nunca está demás escuchar sí se desea aprender lo que se desconoce, así evitaremos pasar malos ratos cómo los que seguramente tuvieron que pasar los responsables de los sitios web hackeados de Ecuador.