PHP por si no lo sabes, es un lenguaje que nos da la facilidad de poder crear páginas web muy dinámicas. Además tambien es útil para crear aplicaciones. La caracteristica más importante de este lenguaje, es que generalmente se lo usa del lado del servidor y es por eso que esta siendo muy popular en los desarrolladores, nadie podra ver tu código si no tiene acceso a la PC donde este alojado el Server de Apache.
Pero si sos un desarrollador, sabrás que siempre tenemos que aprender, siempre hay algo nuevo o algo interesante para poner en práctica. En esta url que te voy a compartir hay documentación para begginers (principiantes), gente intermedia, avanzada y experta, mas que nada con aquellos que esten bastante obsesionados con lo que refiere a la seguridad.
Ir al sitio – Articulos sobre PHP
WordPress 2.5 acabo de ser lanzado durante el fin de semana pasado y aunque es bastante estable, trae grandes novedades y mejoras aunque resulto ser relativamente problemático para algunos. Dos días después de instalarlo en todos los blogs de Hipertextual y con la experiencia de 16 blogs actualizados y una multitud de bloggers usándolo, recomiendo:
Sí actualizar
- Si tenés mucho tiempo para dedicar a resolver asuntos técnicos.
- Si estás solo en tu blog o tus compañeros se adaptan a cambios con facilidad.
- Si tenés versiones estándar de Apache, PHP, MySQL. No tendrás problema alguno de compatibilidad.
- Si tenés pocos plugins.
No actualizar
- Si funciones importantes de tu blog dependen de plugins
- Si hay muchos bloggers participando en el blog, es totalmente diferente y cuesta acostumbrarse a la nueva versión.
- Tenés poco tiempo para dedicarle a la resolución de problemas técnicos.
- Tenés instalado lighttpd 1.4, que por algún motivo bastante estúpido requiere lighttpd 1.5 que está en beta para algunas funciones importantes del blog. Grave error. No todos usamos Apache.
- Si tu blog está en un subdirectorio del dominio principal (hay un bug que hace que no sirvan los feeds si el blog no está en el dominio principal).
- Si no sabes como volver a poner un respaldo de base de datos (suena tonto, pero conozco varios que actualizaron, se les dañó la BD y no hicieron un buen respaldo o no supieron como ponerlo)
Una traducción al español ya está disponible y siempre nos queda el foro de discusión oficial para resolver dudas.
Cuando se habla de software de código abierto (OSS por sus siglas en inglés “Open Source Software”) mucha gente suele asociar éste concepto a una serie de conceptos errados que conllevan a la aparición de mitos, los cuales son evidentemente falsos y te muestro a continuación por qué.
Mito 1.- Usar OSS es riesgoso para la Seguridad de TI
Las tecnologías de información son base de la estructura de software, sobre todo en las empresas, por lo que es importante que sean seguras. Existen diversos ejemplos que demuestran la seguridad de estos softwares de código abierto como lo son Linux y Apache.
Mito 2.- El software de código abierto (OSS) es gratis
Ea verdad, no se puede pagarpor algo que se descarga gratis… ahí termina todo, para lo demás existen otras soluciones que se desarrollan partiendo de OSS y necesitan dinero para investigar, dar soporte y generar actualizaciones para las empresas, un ejemplo de ello es Astaro Security Gateway.
Mito 3.- Los Proveedores de código abierto no aportan valor a las OSS
Muchos de los OSS se distribuyen con una licencia GPL, los proveedores tienen la libertad de distribuir y vender el OSS si siguen las reglas de la licencia y añaden valor. En muchos de estos proyectos los desarrolladores no solo añaden valor sino que además contribuyen significativamente al conocimiento haciéndolo compartido y exponiendo así posibles mejoras o aportándole funcionalidad a la plataforma de desarrollo.
Mito 4.- Las Soluciones Propietarias son Más Confiables que las OSS
Este mito es evidentemente falso ya que las soluciones propietarias además de resultar más caras, tienden a asociar sus productos a otras líneas aumentando la complejidad y demorando su capacidad de comprensión y respuesta, lo cual no sucede en los software de código abierto donde una gran cantidad de especialistas es la que se encarga de dar soporte en estos casos, además de ser más dinámica y crear parches a tiempo evitando errores.
Mito 5.- La seguridad de las OSS es muy compleja para microempresas
Hay parte de cierto en esto y es que los OSS son tan robustos que prevén en su configuración, métodos y posibilidades que, de no ser bien usadas, pueden llevar a un funcionamiento malo o nulo del programa. Sin embargo esto da un giro de 360 grados gracias a otro punto de apoyo: su flexibilidad, lo cual le permite adecuarse a distintos entornos facilitando así la interoperabilidad entre distintos OSS (cosa de la que adolecen las marcas propietarias)
En conclusión, cada vez es mayor el número de empresas que, aunque no utilizan OSS en todos sus módulos, lo hacen en las secciones donde se requiere mayor seguridad, prefieren darle una oportunidad de estos programas que demostraron, y siguen haciéndolo, que el soporte compartido y el conocimiento extendido son una mejor manera para afrontar problemas y errores.
Por si no sabés que es Hotlink, es una práctica que hacen algunas personas de enlazar directamente a las imágenes de otros blogs robando así el ancho de banda del otro sitio en vez de ellos mismos almacenar las imágenes en sus servidores o sitios públicos. Así que decidí que ya era hora de deshabilitar el “hotlinking” y aprovechar para compartir unos tips de como hacerlo.
Deshabilitarlo es algo fácil, se puede hacer si usas WordPress con el plugin Hotlink Protection o usando el archivo .htaccess si tu servidor web es Apache.
Para hacerlo con el archivo .htaccess es necesario crear ciertas reglas que para el no tan experto pueden parecer koreano, pero no te preocupes, hay varias herramientas ya listas en la Web que te generan el archivo automáticamente y sólo necesitás responder algunas preguntas como el tipo de archivo a bloquear, si querés bloquear alguna IP en especial, la imágen que querés sustituía a la original (interesante opción para tomar venganza) o si querés permitir el hotlink desde un sitio en particular.
La lista de herramientas para generar archivos .htaccess es larga, acá te dejo unos cuantos que me parecieron los mejores y me sirvieron.
- Site Ban and hotlink block, Inclye herramientas para bloquear IP, hotlinks y referidos
- htaccesseditor.com, Muy sencillo de usar, pero sin protección para hotlink
- Cooltips htaccess, lleno de funciones, ideal para los más expertos
- htaccesstools.com, De nivel intermedio y en crecimiento
- Basix Disable Hotlinking, Enfocado unicamente al hotlinking, incluye verificación
Luego de tener el archivo generado, es solo cuestión de subirlo al directorio raíz por FTP o vía el Panel de control de administración de tu sitio y probar que ya no se puedan usar nuestras imagenes bien sea usando las formas de prueba que tienen algunas de las herramientas que les presentéo visitando uno de los sitios que nos robaba.
TIP: Uno de los errores más comunes por el que no nos funciona el archivo .htaccess creado es el olvidarte del punto que precede el nombre del archivo, tené cuidado con eso.
¿Ustedes creen que crear un YouTube es complicado? Ahora no lo es tanto, desde vShare ya ofrecen un script para crear un sitio de alojamiento y compartición de videos por sólo $10 dólares.
El script está hecho en PHP y MySQL y posee muy buenas características. Está orientado a servidores con Apache y necesita ciertas librerías para funcionar, la lista completa de requerimientos la pueden encontrar aquí. Pueden ver un demo de un sitio en funcionamiento con este script, un screenshot del panel de administración y otros sitios creados con este script. Ahora será más fácil crear tu proyecto de web para videos con ésta aplicación.
ATTAQUE DDOS: Es una denegación de servicio distribuida, dejando a un lado las palabras técnicas, podría resumirse como el echo de saturar un sistema usando para ello, muchísimos clientes.
En los servidores web, algunos delincuentes informáticos, controlan cientos o miles de máquinas infectadas por malware, que controlan a su antojo, y pueden ordenarles hacer visitas sin parar a una web determinada, de forma que el apache se satura, y no puede atender a los visitantes legítimos.
Además de estos ataques básicos, pueden usarse estas máquinas “zombie” para saturar cualquier en la máquina, e incluso, pueden usarse para saturar la red entera en la que la máquina está hospedada, enviando información sin parar mediante el protocolo UDP (que no requiere conexión) hasta saturar el ancho de banda de la red objetivo.
Técnicamente hablando estos ataques se conocen como “syn flood” “http flood” “sockets exhaustion” y “udp flood” (aunque existen otros ataque mas raros, estos son lo mas comunes, algunos ni siquiera están documentados)
Algunas de las técnicas que se pueden utilizar para detener este tipo de ataques es utilizar apache basado en threads en lugar de apache basado en forks, de forma que cada petición no nos genera un nuevo proceso, sino un nuevo hilo, además, deberíamos de instalar reglas anti syn-flood en nuestro iptables, además de eliminar la limitación de 1024 sockets por proceso en Linux.
Aparte de estas medidas preventivas (y que están pensadas por los ataques mas típicos, no siempre son efectivas) existen medidas si ya estás bajo ataque, la primera es analizar los logs de los distintos servicios para ver si están realizando un ataque a un software concreto, como apache, o si están usando ataques en la capa tcp, como syn flood.
Si los ataques son peticiones intentando consumir memoria usando los scripts de la página, algo muy común, bastaría con detectar el refer que utilizan o ver si existen un useragent especifico en los zombies, y bloquearlos. Si el ataque es en la capa tcp, debería estudiarse el uso de reglas especificas para mitigar ese ataque en iptables o en el firewall coporativo.
Finalmente, puede que nos quede la pregunta de como reúnen los delincuentes estas máquinas zombie: lo hacen utilizando bugs muy conocidos y con parches disponibles que los solventan y convirtiendo a cada sistema que capturan en un nuevo scaner que continua buscando otros sistemas sin parar, por lo que cuantas mas máquinas controlan, más máquinas infectan al día.
Los programas con los que realizan estas actividades, son públicos y de código libre, lo cual es mas preocupante aun, existen algunos muy extendidos, como rxbot y otros muy similares, existen infinidad de sitios con documentación acerca de como utilizar estos programas, que existen con total impunidad y sirven como escuelas para delincuentes informáticos.
