PDF de programación - No es inseguro por ser software libre

No es inseguro por ser

software libre

MsC. Jeffrey Steve Borbón Sanabria

@eljeffto

FLISoL Bogotá 2013

Sobre eljeffto

!   Oficial de seguridad de la

información.

!   Trabajé como sysadmin

de tecnologías libres por 5
años.

!   Participé activamente de

varios proyectos de SL
!   Uso software libre pero

no soy purista.

El ahora del Software Libre y

Código Abierto

!   Sistemas operativos y aplicaciones empleadas masivamente

por todo el mundo.

!   La convivencia de software propietario con libre es cada

vez más común

!   Se ha pensado en el usuario y es más amigable ahora.
!   Es una alternativa viable empresarialmente
!   Firefox, Apache, OpenOffice, PHP, MySQL, Ubuntu,

Android ya no son términos desconocidos.

Algunas estadísticas de uso I

Fuente: Wikipedia - 2013

Algunas estadísticas de uso II

Fuente: BuildWith - 2013

Algunas estadísticas de uso III

Fuente: W3Techs - 2013

Algunas estadísticas de uso IV

Fuente: Langpop - 2013

Seguridad y Software Libre -

Código Abierto

!   Posibilidad de extensibilidad
y m e j o r a m i e n t o d e l
software.

!   Respuesta a fallos de

seguridad muy adecuados.

!   Soluciones de seguridad de
b a j o c o s t e y c o n
funcionalidades óptimas.

!   Uso de estándares que

aportan interoperabilidad.

Si es tan bueno… ¿Porqué
tiene fama de inseguro?

Los fallos más comunes

!   Sistemas operativos/aplicativos desactualizados
!   Aplicaciones sin soporte por fabricante o comunidad
!   Uso de configuraciones débiles o predeterminadas
!   Uso de componentes inseguros
!   Problema de asignación de permisos o controles de acceso
!   Ausencia de controles de seguridad
!   "Ajustes temporales" eternos
!   Uso de fuentes de software inseguras

Riesgos asociados

!   Acceso no autorizado
!   Uso de plataformas para fines maliciosos o comerciales
!   Robo o fuga de información personal/corporativa
!   Afectación de la calidad del servicio
!   Alteración de información, servicios y aplicaciones del

negocio

!   Fraude, estafa, consecuencias legales



Soluciones y recomendaciones

! Buenas prácticas de administración

!  Eliminación de usuarios y configuraciones predeterminadas
!  Aseguramiento o "hardening" de plataformas (CIS)
!  Sistemas de validación de integridad de aplicaciones y datos

(Antirootkits - HIDS)

! Aplicar protección de acuerdo con el valor o criticidad del

activo o la información contenida/almacenada
!  Sistemas de protección perimetral
!  Configuraciones de red adecuadas

Soluciones y recomendaciones

! El soporte es importante

!  Comunidades
!  Sitios asociados al tema
! Mantenerse informado

!  Listas de correo
!  Sistemas de notificación de actualizaciones
!  Revisiones periódicas
!  Noticias de seguridad

Soluciones y recomendaciones

! Aprovechar el ecosistema de herramientas libres o de

código abierto existentes a nivel de seguridad
!  Firewall
!  IDS/IPS
!  Validadores de integridad - anti rootkits
!  WAF
!  Filtros de contenido
!  Analizadores de tráfico en tiempo real
!  Correlacionadores de eventos
!  Analizadores de vulnerabilidades

Conclusión

La seguridad de la información debe ser tomada en serio y se

debe pensar en todo momento al administrar plataformas,
instalar software, gestionar contenidos, todo esto usando

técnicas, procedimientos, herramientas idóneas y adaptadas de

acuerdo a las necesidades del negocio.



Gracias por su atención
Momento de preguntas, dudas, comentarios,

correcciones, sugerencias…



@eljeffto – [email protected] - http://eljeffto.com