Diez fallos de seguridad que harán que te despidan

Líneas

Traigo una lectura ligerita con una lista de cosas. Se trata de 10 security mistakes that will get you fired.

La lista es:

  • Interrumpir alguna actividad crítica para el negocio
  • Interrumpir el acceso del jefe a alguna cosa
  • Pasar por alto algún suceso importante de seguridad.
  • Leer información confidencial.
  • Invadir la privacidad de nuestros usuarios.
  • Utilizar datos reales en sistemas de prueba.
  • Utilizar una contraseña corporativa en un sitio externo.
  • Abrir algún hueco con permisos para que cualquier persona pueda acceder a todo (ANY ANY)
  • No cambiar las contraseñas
  • Tratar cualquier vulnerabilidad como si fuera la más importante.

Desbordamiento de enteros en YouTube

Psy

A veces tenemos coincidencias curiosas: acabo de encontrarme con un desbordamiento de un rango de índices para un vector en Pascal, de la mano de un par de estudiantes que no habían tenido las prevenciones adecuadas (con el compilador de Free Pascal: ponían (por ejemplo) vector[-1] y no saltaba ningún error, así que colocaba datos en otra parte del registro (estamos trabajando estructuras de datos ‘más’ complejas) y el programa funcionaba mal.

La coincidencia es que al ir a mirar qué poner hoy en este sitio me he encontrado con que hace algunos días guardé la historia del desbordamiento de enteros en YouTube, por gentileza de Psy y el número de visualizaciones que ha tenido su vídeo en esa plataforma: Gangnam Style overflows INT_MAX, forces YouTube to go 64-bit

The maximum value of this number type, 2,147,483,647, is well known to C programmers as INT_MAX. Once INT_MAX is reached, attempting to record another view will normally roll over to -2,147,483,648.

YouTube isn’t the only software that this number is a problem for. Unix systems record time values as the number of seconds since 00:00:00 UTC on January 1, 1970. 32-bit systems use a signed 32-bit integer for this, so they will wrap around 2,147,483,647 seconds after that date. Two billion seconds is about 68 years; on January 19, 2038, at 03:14:07 in the morning, 32-bit Unix clocks will roll over.

Son ese tipo de errores en los que se piensa: ¿cómo podría llegar a alcanzarse esta cantidad? Y un buen día se alcanza. El próximo límite, con sus 64 bits, tardará un poco más en ser un prolema (4 mil millones de años, si los cálculos del artículo son correctos).

También lo cuentan en We never thought a video would be watched in numbers greater than a 32-bit integer ….

Si alguien tiene ganas de ver el vídeo:

Gangnam Style

Las primeras contraseñas

Login

Un poco de historia nunca viene mal. En The World’s First Computer Password? It Was Useless Too hablan de los primeros ordenadores de tiempo compartido (ejecutaban los programas de varios usuarios, en lugar de un usuario cada vez, cuando le tocaba) y de la ‘necesidad’ de las primeras contraseñas:

It probably arrived at the Massachusetts Institute of Technology in the mid-1960s, when researchers at the university built a massive time-sharing computer called CTSS. The punchline is that even then, passwords didn’t protect users as well as they could have. Technology changes. But, then again, it doesn’t.

Aunque en realidad en aquella época la seguridad no era una gran preocupación:

The irony is that the MIT researchers who pioneered the passwords didn’t really care much about security.

El primer robo de contraseñas documentado:

In the spring of 1962, Scherr was looking for a way to bump up his usage time on CTSS. He had been allotted four hours per week, but it wasn’t nearly enough time to run the detailed performance simulations he’d designed for the new computer system. So he simply printed out all of the passwords stored on the system.

“There was a way to request files to be printed offline by submitting a punched card,” he remembered in a pamphlet written last year to commemorate the invention of the CTSS. “Late one Friday night, I submitted a request to print the password files and very early Saturday morning went to the file cabinet where printouts were placed and took the listing.”

Desarrollo seguro: las pistas de Adobe

Ordenadores

En The Simplest Form of Secure Coding un articulito introductorio en la bitácora de seguridad de Adobe sobre el tema de desarrollo seguro en las empresas.

Incide en el tema de que los consejos sobre desarrollo seguro suelen tener un solapamiento fuerte con los consejos sobre buenas técnicas de desarrollo (mejores prácticas y esas cosas).

As you can see, regardless of your coding language, security best practices tend to overlap with your developer best practices. Following them will either directly make your code more secure or make it easier to integrate security controls later. In meetings with management, developers and security people can be aligned in requesting adequate time to code properly.

Aunque no es lo único. Como sabemos, un programa puede ser técnicamente correcto y tener fallos de seguridad desde muchos puntos de vista.

Todo lo que necesitas saber de POODLE

Puerta cerrada

El año pasado estuvo bastante animado con fallos muy mediáticos (nombres propios, webs dedicadas, etc.). En Everything you need to know about the POODLE SSL bug Troy Hunt hacía un resumen bastante amplio del tema y que vale la pena conservar después de haberlo leído.

Sobre el nombre:

Enough with the crazy bug names, why Poodle?!

No, not Poodle, POODLE – the Padding Oracle On Downgraded Legacy Encryption. In the modern era of fancy bug names, the guys who names this must have been ecstatic when they realised that the acronym actually made a whole heap of sense! But really, that’s exactly what it is – a protocol downgrade support that then exploits a legacy encryption implementation. Nice one guys!

Naturalmente, también escribió Everything you need to know about the Shellshock Bash bug, que también es interesante.