Weblog de JaCkSecurity

Desde el primero de marzo (2007), un especialista en seguridad está haciendo público diversas vulnerabilidades en PHP por cada día. Aunque este trabajo viene siendo difundido en varios sitios web de diversas revistas de tecnología en todo el mundo, es posible que no esté hallando el eco esperado. La razón para esta preocupación, es que aún la misma gente detrás del desarrollo original del proyecto PHP ya ha menospreciado los aportes y preocupaciones en seguridad en PHP. Por esta razón, JaCkSecurity.com a favor del proyecto MoPB, cree que es importante que las empresas y desarrolladores PHP de sitios web peruanos, lean y apliquen con caracter de urgencia los hallazgos de Stefan Esser. He aquí, algunas razones de peso.

La voz de alerta en Perú es apremiante, porque la mayoría de las páginas (públicas) de los sitios web peruanos han sido escritos usando éste lenguaje de programación. A través de una investigación hecha con el uso de técnicas básicas en Google Hacking, se descubrió que sólo en el dominio .com.pe, alojados dentro del territorio peruano, existen aproximadamente unos 1.67 millones de sitios web que contienen 3.15 millones de páginas escritas en PHP, mientras que sólo 0.8 millones de páginas están escritas en ASP o ASP.NET (Se consideraron sólo extenciones asp y aspx, porque las demás arrojaron números insignificantes). Llevándolo a porcentajes, la dramática diferencia, del 79.63% en páginas PHP versus el 20.37% de páginas ASP.NET, muestra claramente la necesidad imperiosa de leer el MoPB. La probabilidad de que la seguridad de varias empresas con programas PHP mal diseñados sean violadas, es simple y sencillamente alta. Imagine, por un momento, que sólo el 10% del 10% de aquellas 1.67 millones de páginas exhiba sólo una de los más de 30 hoyos que se llegarán a publicar en el MoPB, eso implicaría que al menos unos 16 mil sitios web peruanos están propensos a ataques masivos de gusanos (worms), defacers, extorcionadores o espías industriales.

Otra razón que le suma peso a ésta urgente llamada, es el saber los ataques realizados por defacers sobre sitios web que usan sistemas operativos no-Windows, son considerablemente superior a aquellos del tipo Windows, donde regularmente no se ejecuta código PHP. Desde el año 2000, según los datos que puede ofrecer Zone-h.org, una de las fuentes más confiables de desfiguraciones del planeta, los sitios web no-Windows fueron un 76% de veces más atacados que aquellos servidores web Windows (24%), donde se montan las páginas ASP y ASP.NET. Esta situación se observa en el siguiente cuadro.

De esta forma, tanto la superior tasa de páginas PHP vs. las ASP/ASP.NET, como la superior prelidección de los defacers a atacar sitios web sobre sistemas operativos no-Windows (como Linux, FreeBSD, etc., dónde se montan las páginas PHP), reflejan la urgente importancia de nuestros desarrolladores locales en PHP, a leer los artículos del MoPB. Queda en manos de éstos últimos, y en aquellos gerentes de responsables, que saben que sus sitios web usan ésta tecnología, el actuar inmediatamente para evaluar y reparar la seguridad de sus aplicaciones web PHP, antes que se vean fuertemente golpeados.

This entry was posted on Monday, March 12th, 2007 at 3:03 am and is filed under Knowledge. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.