Mensajes

El sistema de captcha a mi ver es mas luchar contra OCR (bots) y contra personas que se dedican a rellenarlas a cambio de dinero que preocuparse de XSS xD

Lo que si es buena idea es que en caso de detectar un ataque/scaneo, tirar todo tipo de errores raros (incluidos falsos positivos) haciéndole perder el tiempo al que realiza dicha actividad.

Aquí un vídeo un poco sobre el tema xD
https://www.youtube.com/watch?v=I3pNLB3Cq24

Por un lado me gustaría afirmar (desde mi punto de vista) que lo que mas desmotiva a un tipo en atacar es que precisamente pierda el tiempo ya sea por retardo (un bonito sleep()) o por falsos positivos que no llevan a ninguna parte.. eso si, trollear le a veces le puede hacer enfadar y empezar a tirar DDoS a como loco xD

Saludos

Interesante, tu comentario difiere con el anterior. Quizás el esfuerzo sea proporcilal al interés por la plataforma - stress de hackearla. No sé porque en este post se me dá que estamos hablando de hackers como niños mal-criados que pierden la pasciencia en pocos minutos. Quizás por una parte sea así, pero también probablemente los "pro" están armados con más herramientas (y conocimiento) que un par de lammers o niños que matan el tiempo molestando a la gente.

En el caso de una persona mayor se me ocurre que tiene que tener intereses detrás mayores que el solo hecho de fastidiar por fastidiar, en tal caso tendría un nivel de inmaduréz totál.

Y con Ustedes: "elhacker" se convirtió en "psicohacker magazine" hahah!

Buen tema...

inicio con:un lema en este mundo "oscuridad no es seguridad" al devolver falsos datos lo alentas a seguir atacando, cuando se den cuenta que son falsos probablemente se dedique a "toquetear" el site hasta que consiga un hueco o se aburra...


dudo que esa cosa exista... si es un sitio simple, es porque debe tener poca seguridad, si tiene mucha seguridad, es porque quiere demostrar que nunca es suficiente seguridad, si es poco popular, es porque es "bueno" para iniciarse, si es muy popular da "reputación"

lo importante es mantener un software actualizado, guardar logs de TODO y revisarlos con cierta periodicidad para analizar si puede haber ataques discretos, saber configurar bien todo el sistema desde el sistema operativo hasta la configuración de la pagina

pero igual es mi opinion, dejo lugar a que otros usuarios opinen y abrir una buena discusión

Buén comentario!

Al parecer en este mundo "dentro del mundo" no existe excusa para evitar un ataque, sinó los que están preparados para ellos y los que no. O por lo menos, es lo que concluyo con tu comentario.

Hace mucho tiempo que no audito la seguridad de mis sistemas pero sé que están bastante bién implementados, lo que sí, de un DDoS no me escapo. Creo que invertiré tiempo en mejorar la seguridad a que mejorar la imagen pública.

Lo que si, en seguridad informática noto que los costos son exponenciales, entre más creces más exponencial se vuelve el costo de inversión que tienes que realizar casi de manera constante, ni hablar de los recursos necesarios para soportar un DDoS chico / mediano.

Sin dudas es un tema complejo...

[¿porque tengo que tomar tantas medidas, invertir tanto esfuerzo, tiempo y dinero en seguridad informática cuando podría invertirlo en ofrecer un servicio de mayor calídad?]

Estoy entrando en proceso de monetización (algo sumamente dificil) de un servicio de captchas y tomé ciertos recaudos en lo que respecta a seguridad, pero tampoco es la "panacea" ni por mucho menos. Pago todo de mi bolsillo.

Pero mientras pensaba múltiples medidas para implementar, me pregunté, ¿porque tengo que tomar tantas medidas, invertir tanto esfuerzo, tiempo y dinero en seguridad informática cuando podría invertirlo en ofrecer un servicio de mayor calídad?

Lógicamente, al ser un servicio de captchas, OBLIGATORIAMENTE debe (y tiene) algunas medidas de seguridad, eso está claro.

Mientras estaba tendido en la cama pensaba: ok, si trolleo a un potencial hacker que esté buscando vulnerabilidades por XSS, detecto la intección de código y devuelvo falsos dátos (simulando que encontró un agujero), ¿estaré desalentando un ataque ya que se frustrará por no obtener un resultado con los dátos falsos que devolverá el sistema al detectar el XSS? ¿o todo lo contrario?, quizás lo tome como un reto personal...

Pues allí es donde surgió mi duda, ¿a que tipo de sitios web y PORQUE un hacker nunca atacaría a esos sitios web? Seguramente existen...

Se me ocurren que muchas empresas con buén lucro y con acciones caritativas (donaciones y acciones éticas) (algo con lo que nosotros ántes ya incursionamos pero como no veia sentido para atraer clientes lo dejé de lado) POSIBLEMENTE, sean menos propensos a ataques, ya que esto apela a la compasción, el sentido del bién del humano en general. Es decir, los ataques más peligrosos se realizan por humanos y no servidores / computadoras, y si fuera el caso, alguien tiene que ponerte como target en la bootnet, es decir, volvemos a lo mismo: el humano tiene la última palabra.

Como este blog es "elhacker.net" no creo que haya mejor sitio web para consultar algo así y reflexionar un poco sobre ello y quizás llegar a algunas conclusiones interesantes, ¿porque no?