Según Acunetix 7 de cada 10 webs son vulnerables, Joel Snyder apuesta 1000 $ a que no.

seguridad.gifVi esta información en Slashdot hace unos días y necesitaba un poco de tiempo para postearlo y explicaros bien el tema.

Acunetix es un scanner de vulnerabilidades web que se vende a un precio de entre 1.700 $ y 5.000 $ según la licencia de uso, tiempo etc etc.

Con esta herramienta, se audita remotamente un website buscando bugs del tipo; SQL Injection, Cross site scripting / XSS, resistencia de las claves ante ataques por fuerza bruta, vulnerabilidades en las versiones encontradas etc, etc.

Realmente no hace nada que no se puede hacer o auditar con herramientas avaladas por miles de usuarios, algunas libres y gratuitas, tales como; Nessus, Nmap, Hping, Netcat, etc etc. (por cierto, se puede habilitar en Nessus el escaneo con el motor de Nmap).

Además, me atrevo a afirmar que no es ni de lejos tan «silencioso» como Nmap intentando traspasar un Firewall para ver «que hay detrás».

No tengo un Windows para bajarme una demo y probarlo, pero me apuesto (no 1.000 $ que ando muy pelado-;) a que hace tanto ruido aún bajando el «timming» del scan, que un Snort u otro IDS bien afinado, se lo come con patatas.

Pues bien, la gente de Acunetix ha afirmado que han encontrado (pull) Bugs en un 70 % (/pull) de los sitios auditados (3.200 según ellos). Este es el informe, traducido con Google.

Ni corto ni perezoso, Joel Snyder, un reputado consultor de seguridad (entrar y mirad como describe su propia web, es un cachondo-;), les ha lanzado el guante apostándose 1000 $ a que no se da ese ratio de vulnerabilidades encontradas en 10 sitios escogidos al azar entre esos 3.200 que dice haber auditado Acunetix.

Es lo de siempre, el «vendor», vende inseguridad a un precio muy alto, por esa pasta, cualquier consultora de seguridad te hace un informe la mar de completo y te ayudan a parchear lo susceptible de ser explotado.


Y digo yo ¿De qué te sirve sólo saber los fallos que tiene tu sitio web si no sabes cómo solucionarlo?. Está bien saber y no vivir en la ignorancia, lógico, pero el informe me parece muy sensacionalista y sesgado además de poco serio.

Creo que una empresa que puede pagar el precio de este software, será lo suficientemente inteligente como para contratar los servicios de profesionales en seguridad (que también los hay que venden mucho humo).
Claro que hay muchas vulnerabilidades y que muchos sitios son explotables pero que queréis que os diga, desde que he visto la web de Snyder me he convertido en su fan número uno. Eso si que es 2.0 -;)

Más info sobre el tema (traducido con Google).

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • BuHo

    Está interesante y molaría probarlo, pero con lo que vale casi me sale más barato comprame un bate de béisbol, irme hasta el server que quiera hackear y hacerlo «in situ» y por fuerza bruta

  • dabo

    ya te digo Buho -;) pero de todos modos creo que lo del bate de beisbol es mejor XD

  • specka

    Sobre esto puedo opinar.

    En mi anterior empresa, nos ofrecieron una auditoria a una de las 65 maquinas que teniamos.

    El dia que quedaron en hacer la auditoria, me indicaron que comenzaria a las 11:00 AM. Para que no me asustara.

    A las 2 horas me llamo un chico muy amable pidiendome:

    1.- Que quietara el firewall
    2.- Que desactivara mod_security de Apache
    3.- Si tenia el portsentry tambine.

    Casi le falto pedirme el password de root.

    ;-)

  • dabo

    Juas vaya bueno, asustado quedarías cuando te llamaron no??

    Yo ya no me sorprendo de nada la verdad -;)

Comentarios cerrados.