| Kriptópolis alojado en |
| Zilos-Veloxia Network |
| Tu mejor defensa: |
| Bufet Almeida |
Microsoft actualiza URLScan para contrarrestar los ataques masivos sobre sus servidores
Enviado por admin el 22. Agosto 2008 - 15:44.
Microsoft acaba de publicar una versión mejorada de URLScan, un extra para su servidor Web que actúa como filtro frente a intentos de inyección SQL y códigos maliciosos.
Pero, ¿cuál es la principal novedad que aporta URLScan 3.0 frente a su versión anterior 2.5? Pues nada más y nada menos que la nueva versión filtra también las "query string" (es decir, las cadenas que van en la URL tras el dominio, que es precisamente dónde suele está el "quid" de la cuestión). Hasta hoy, y por increíble que parezca, URLScan no filtraba las cadenas que incluyen la consulta SQL, sino sólo las URLs y en función de características tan superficiales como su longitud.
URLScan 3.0 también aporta un control más estricto que permite a los administradores definir reglas mucho más específicas, así como implementar listas blancas de cadenas de consulta permitidas.
Una vez más, Microsoft desmiente así a sus propios "fanboys", que al menos hasta hoy defendían con su característico empecinamiento que toda la responsabilidad de los últimos ataques masivos recaía exclusivamente en los desarrolladores de aplicaciones
Y es que es cierto: los ataques por inyección SQL no son "culpa" del servidor SQL de Microsoft (ni mucho menos exclusivos de sus servidores), pero la propia multinacional norteamericana reconoce que URLScan 3.0 está mejor construido que la versión anterior, y que puede ayudar al menos a que no se reproduzcan los ataques con la lamentable facilidad con que vienen haciéndolo últimamente sobre el servidor web de esta empresa...
Referencias:
- URLScan 3.0 rtw (release to web) available [Steve Schofield Weblog, Microsoft].
- Microsoft Tool Helps Filter SQL Injection Attacks [Redmond News].
- Using UrlScan [Microsoft IIS].
- SQL Injection Attacks on IIS Web Servers [Microsoft IIS].
- UrlScan v3.0 Beta Release [Microsoft IIS. Nota de presentación de la beta el pasado mes de junio].
Relacionadas:
- Más de 500.000 sitios web afectados por ataque masivo de inyección SQL [Kriptópolis].
- Más de 300.000 sitios chinos comprometidos [Kriptópolis].
- Infección masiva afecta a decenas de miles de sitios web [Kriptópolis].
Demostrado
Por mucho que a algunos les pese y les rompa sus esquemas, a mí no le duelen prendas en alabar lo que me parecen acciones positivas de Microsoft en pro de la seguridad en Internet, o simplemente de sus propios clientes, entre los que por cierto también me cuento y desde hace muchos años (ya me gustaría a mí ver las licencias y carnets de cliente de muchos de sus fanboys).
Aquí había un problema evidente y Microsoft ha hecho lo que tenía que hacer... mientras sus fanboys (como siempre más papistas que el papa) decían que no pasaba nada, que no había nada que arreglar y que la culpa era de otros... siempre de otros.
Y a la inversa. Cuando Debian la caga hay que reconocerlo y contarlo, y cuando lo hace Microsoft tampoco hay que ocultarlo.
Con eso no defiendo la objetividad a ultranza del sitio. No pretendo ser objetivo (no creo que ni el BOE lo sea), pero sí intento siempre ser veraz, es decir, no falsear lo que cuento, aunque luego mi interpretación de esos hechos no tenga por qué coincidir con la de todo el mundo. Ni puñetera falta que hace.
Si Microsoft
Si Microsoft tiene un sistema pesado y consumista de memoria, es por personas que entienden que una comilla en un parámetro que el sistema operativo tiene que controlar y no la aplicación en sí. Gente que comprende que un ataque de inyección de sql es un error de diagramación del sistema y no del sistema operativo. Que un buffer overflow es un error dela aplicación y no del sistema operavito. Que el boton de reset o power es un problema del usuario y no del sistema operativo. Entonces, como la gente programa mal (no todos, solo 500.000 que dejaron sin controlar sus servidores) y no sabe que controles debe aplicar a las variales externas e internas del sistema en cuestion, Microsoft se cubre (porque ya esta cansado de que le peguen con noticias tan pelotudas como las que estan en el link). Por esta razón decide aplicar políticas proactivas contra los programadores mediopelo que existe en internet. Es por eso que los programas terminan siendo tan pesados, porque tienen tanta lógica en su interior analizando que gente no cometa errores tan comunes, tan comentados y tan estúpidos a la vez.
Menos mal que en Microsoft hay una política proactiva contra fallos normales, analizadores de código estático, ciclo de vida del software, etc así no siguen cometiendo horrores como los de openssl de Debian, los servidores comprometidos de RedHat, y demas.
No tienen más remedio
No tienen más remedio. Ya han asumido que ese tipo de cliente es su segmento del mercado de servidores.
He trabajado en PHP y ASP
He trabajado en PHP y ASP entre otros y la verdad que la culpa es del programador por no crear funciones para limpiar las variables externas, que ahora lo hace MS.
Decir que PHP también es muy vulnerable (he corregido barbaridades a lo largo de los años) y si alguien que no sabe lo que es XSS o inyección se pone a programar es normal que pase lo que pasar pero también es mas común que un usuario de Windows toque donde no debería tocar.
En Resumen...
Vamos quieres decir que URLScan 2.5 era muy pobre y que la 3.0 lo han hecho un poquito mejor para evitar inyecciones.
Sinceramente no creo que todos los servidores atacados tuvieran UrlScan, y me parece muy rebuscado "atacar" con eso a los "fanboys" de windows por el solo "exclusivamente".
Es muy dificil resistirse a la tentacion de no sacudir de vez en cuando a windows y sus seguidores aferrimos como buen linuxero, y lo bien que se queda uno NO TIENE PRECIO xDDD
Opinar