Antes que nada, me gustaría apuntar que no me considero un experto en nada pero sí que tengo conocimiento de muchas áreas relacionadas con la informática. De esas áreas, en las que me considero más cómodo son las de programación y sistemas. Dicho esto, paso a explicar el título de la entrada.
Por las tareas diarias que me toca realizar, tengo que tratar con informáticos, diseñadores, clientes, proveedores, colaboradores de otras empresas expertos, y otros que no tanto que por encima de todo creen poseer la verdad absoluta en todas las áreas.
Desde hace ya algunos años se puso de moda uno de los peores dolores de cabeza para los administradores de sistemas, llamado Wordpress. Este gestor de contenidos se basa en PHP, lenguaje interpretado, muy accesible y potente, nacido de la idea de flexibilizar otros lenguajes como perl aunque nunca se ha caracterizado por tener un buen control de la seguridad.
Llevo años viendo la evolución de PHP y Wordpress y he podido observar que cuando se hace que una tecnología sea fácil y accesible a todo el mundo muchos programadores con poca base y más diseñadores con ansias de quitarse del medio a programadores se lanzan como moscas a la miel para desarrollar sus aplicaciones a cualquier precio. Por cuaquier precio me refiero a abaratar costes penalizando la seguridad.
Pues bien, ¿de dónde viene el 777? Mucha gente piensa que Windows es el sistema operativo que más se usa en este mundo... pues es relativamente cierto o falso, según se mire. Windows debido a su inseguridad, a su arquitectura "parcheada" y a que llegó tarde al mundo de la informática no es el sistema operativo más usado en servidores para internet. Siento tener que ser yo el que os lo diga :-p pero tanto en investigación, en el mundo universitario o en la gran mayoría de sistemas de servidores (ya sean clusters pequeños, gigantes o sistemas independientes, incuidos los servidores web de Facebook, Twitter, Amazon, Skype y algunos de microsoft) funcionan con Linux o derivados.
Los sistemas de archivos basados en POSIX como Linux (también Unix, BSD y MACOSX) utilizan un sistema de seguridad basado en usuarios y grupos, donde tres cifras indican los permisos para acceder a directorios, enlaces, dispositivos y archivos. No voy a entrar en detalle en cómo se asignan esos permisos y qué significan, para eso ya hay cientos de miles de sites y blogs que lo explican (como este http://www.tutorialesubuntu.com/2009/11/11/explicacion-de-permisos-de-ficheros-y-carpetas-en-ubuntu/ ) lo que sí diré es que si asignamos permisos 777 a un directorio estamos diciendole a nuestro sistema que ese directorio es accesible a cualquiera. Esto significa que cualquier pequeño hacker con conocimientos mínimos de seguridad podría inyectarnos archivos que serían ejecutados en nuestro servidor con los permisos inadecuados.
Pues bien a que no os imagináis quien me ha propuesto en los últimos años que cambie los permisos de varios directorios de aplicaciones hechas en PHP o que usan Wordpress (paradigma de la seguridad, nótese el sarcasmo con el que lo digo) para tapar su (por decirlo de forma light) falta de conocimientos... Pues sí, algunos diseñadores que se creen programadores y administradores de sistemas. Sus errores más habituales suelen residir en su programación, que tengan archivos corruptos o simplemente que el usuario de turno de ftp que usan necesita ser agregado a otro grupo.
Pues a pesar de todo y de que el fallo mayoritariamente suele ser de ellos, este tipo de usuario no lo asume, echando la culpa al sistema y a su administrador (algo innato en el ser humano aunque seas muy cool y hayas diseñado el Museo de Arte Moderno de tu ciudad.), así que desde aquí les digo:
"TU iPHONE, TU IPAD, TU MAC O TU PROXIMO CACHARRO CARO NO TE OTORGAN SABIDURIA, SOLO TE HACEN MÁS COOL. APRENDE A RESPETAR A LOS DEMÁS, SU TRABAJO Y SOBRE TODO, SI NO SABES CUAL ES TU LUGAR APRENDE DE UNA VEZ A PROGRAMAR, LO QUE ES LA SEGURIDAD BASICA EN LOS SISTEMAS Y A SER HUMILDE"
También tengo que decir que he trabajado con verdaderos profesionales o diseñadores que saben cual es su parcela en la creación de aplicaciones y no se inmiscuyen en las tareas del resto de técnicos para las cuales no están capacitados. Tengo la suerte de trabajar a diario con uno de ellos al que tengo mucho aprecio.
Hoy tocaba hablar del numero del diablo para los administradores de sistemas, pero otro día hablaré sobre los clientes que se obcecan con que quieren un CMS, que sea Wordpress, con todos los plugins del mundo, además modificados para que hagan exactamente lo que ellos quieren... claro está que las modificaciones hacen que el Wordpress deje de ser actualizable y por tanto habremos creado otro bonito y más que seguro agujero de seguridad en nuestro sistema.
Un saludote a tod@s
P.D: Todavía estoy esperando a que tres personas, después de demostrarles cual era su error, lo admitan y me envien un mail de agradecimiento, aunque mejor casi que no... entonces no parecerían tan expertos y "cool"
No hay comentarios:
Publicar un comentario