En este post de netcordia se recogen los 10 errores más frecuentes cometidos por los administradores de sistemas y redes:
1. No cambiar las contraseñas por defecto de los dispositivos
"password", "admin", "public", "private", ¿quién da más?...
2. Misma contraseña para todos los dispositivos
Con el tiempo termina conociéndola demasiada gente.
3. Errores de codificación de SQL
Uno de los ataques más habituales se realiza contra una base de datos conectada a un servidor Web.
4. Mala configuración de las listas de acceso
Habiendo recursos tan buenos :-) no hay excusa...
5. Permitir accesos inseguros y software de gestión
Relacionado con el punto anterior. Hay que restringir cuidadosamente el tráfico entrante tipo PCAnywhere, VNC o SSH. Herramientas como nmap pueden ayudar en este punto.
6. Aplicaciones web no críticas con vulnerabilidades básicas.
El ataque más habitual se realiza contra un servidor Web mal configurado.
7. No proteger de forma adecuada contra malware los servidores
Sin comentarios.
8. No filtrar adecuadamente el tráfico de salida de la red
Es trivial y no se hace.
9. Desconocer dónde (más) se almacena la información crítica
¿Donde se guardan los backups?
10. No seguir estándares de pago
PCI DSS
Relacionado con esta entrada, estudio del Instituto SANS sobre las 20 vulnerabilidades más habituales y sobre los 25 errores de programación más peligrosos.
Fuente: netcordia vía networlworld. Como siempre, muchas gracias por venir. Si te gustó el post puedes apuntarte a través del correo electrónico o por medio del feed RSS (más acerca del RSS). También puedes seguirme a través de mis elementos compartidos.
miércoles, 8 de julio de 2009
La 10 pifias de seguridad más habituales
Suscribirse a:
Enviar comentarios (Atom)
2 comentarios:
Esto es confidencial (risas): En mi penúltimo trabajo, la contraseña del administrador del dominio era P@ssw0rd . Que está muy bién para enseñar lo que es una contraseña segura (mayúsculas, minúsculas, números, carácteres no alfabéticos). Pero que es una solemne tonteria ponerla ya que está incluida en casi todos los diccionarios de fuerza bruta. Y es verdad, no cambiaban las contraseñas desde el boom de los Intel 80286 ...
No te preocupes, que de Internet no sale. Conozco los síntomas. Por cierto que para la parte de los remedios el Sr. Ortitorrinco Enmascarado publicó hace unos meses un estupendo programa en Python que generaba contraseñas aleatorias y pronunciables mediante cadenas de Markov.
Publicar un comentario