26 octubre 2009

Drupal en la Casa Blanca

Es noticia [1][2], que la Casa Blanca ha decidido migrar su gestor de contenido a la plataforma Open Source Drupal para su web principal whitehouse.gov

Las críticas por esta decisión no se han hecho esperar, RSnake dedica una entrada en su blog comentando porque considera errónea esta decisión. Que resumo en estos puntos:

- Más de 12 páginas de vulnerabilidades en la web de OSVDB.

-Un tercero puede auditar el gestor de contenidos montándose una réplica en un laboratorio sin ser detectado

-Tiene que ser altamente fortificado y despersonalizado para evitar ser vulnerable. Tanto que acabaría siendo un gestor de contenido propio.

Será esta gripe que estoy pasando, pero yo en todos esos motivos solo veo razones para instalar Drupal o cualquier otro gestor de contenido similar:

- El gestor ha sido analizado y auditado en caja blanca por hackers que han reportado vulnerabilidades y mejorado su código haciéndolo más seguro.

- Tanto con malos como con buenos propósitos se puede auditar el sistema sin necesidad de que se haga en la página de producción de la Casa Blanca y sin necesidad de firmar largos contratos de acuerdos de confidencialidad (NDA) para facilitar el código fuente.

- El CMS dispone de los mecanismos necesarios que permiten hacerlo altamente configurable y fortificable para mitigar posibles ataques de intrusos (KGB como poco).

Y eso sin entrar a valorar que el sitio en cuestión no deja de ser una página informativa que muy posiblemente esté en una DMZ compartiendo switch con otros servicios de la misma importancia, como puede una máquina de hacer palomitas (aunque molan más las de microondas) u otra de algodón dulce.

Además, si el servicio web corre en un sistema enjaulado, con un usuario sin privilegios y con otras medidas de seguridad como un cortafuegos de capa 7... ¿Dónde está el problema?

9 comments :

Anónimo dijo...

Yo tampoco veo el problema. Pero no sé, hay 2 posibilidades que RSnake se lleve comisión de Vignette o similar o que sea de los que opine que lo mejor es reinventar la rueda y que hacer el suyo propio, desde 0, picando hasta las librerías. Para gustos los colores ...

No obstante, por dar opiniones, a mi me gusta algo más del rollo eZ o typo3.

lost-perdidos dijo...

Pero esto es arriesgar demasiado. Por supuesto que tendrá múltiples protecciones, pero no deberían utilizar un gestor de contenidos abierto en un sitio de tal importancia, pues están dejando en bandeja el código interno. Que el gestor tenga hackers reportando vulnerabilidades, no significa que se estén reportando todas. Cada vez que se revele un fallo en Drupal, sabremos quien será uno de los primeros afectados.

Julio Jaime dijo...

La seguridad por oscuridad en un sitio tan "publico" no creo que ayude demasiado.

des dijo...

Buenas! Para mí es cierto que la seguridad por oscuridad no es la panacea, pero creo que un poquito les perjudica el decirlo, creerán que el marketing que les hace ("ey, usamos open source, ¡cómo molamos!") les compensa. Otra cosa es que por usar un CMS de código abierto tengan también todas las ventajas del mismo, como que mucha mucha gente les ha buscado vulnerabilidades: las tendrán tanto si dicen lo que tienen como si no. Slds!

des dijo...

Matizo: cuando digo "as tendrán tanto si dicen lo que tienen como si no" me refiero a las ventajas de usar un CMS open source.

Dragón de Rozán dijo...

Será que no hay vulnerabilidades en el soft comercial, la diferencia es que si tu envías la vulnerabilidad a los que hacen el programa en el soft comercial, cruza los dedos para que te lo arreglen, de hecho, cruza los dedos para que no te denuncien, mientras que en el caso de drupal, se quiera o no, se tiene una lista de todas las vulnerabilidades y su rapidez en resolverlas, lo cual hace mucho más claro decidir si la aplicación merece el riesgo o no.

Zerial dijo...

Cuando se toma una decision de este tipo, siempre existen riesgos que correr y mientras se este bien prevenido no creo que exista problemas al respecto. Como dice "lost-perdidos", cada vez que salga un fallo critico en Drupal, el sitio de la Casa Blanca sera uno de los primeros atacados, por otro lado, la gente que tomo esa decision debe estar al tanto de eso y estar protegidos a otro nivel, no compartir de ninguna forma esa maquina con otra que preste un servicio, etc etc. Cualquiera sea el CMS escogido (wordpress, joomla, etc) siempre existiran fallos de seguridad y riesgos. Si se opta por desarrollar un sistema propio y se decide cerrar el codigo, estaria perdiendo el sentido del software libre y el opensource.

Por otro lado, podemos decir que esta decision podría ayudar a los desarrolladores de Drupal para mejorar y bajar la tasa de vulnerabilidades o quizas aumentar el tiempo de respuesta (lo mismo para los desarrolladores de modulos)

Joramart dijo...

Realmente que crees autor que la web de la casa blanca comparte red con la red del gobierno?? pfff....

Alejandro Ramos dijo...

No se que has leído tú... Pero por tu comentario, veo que no te has enterado de lo que pone.