Video: seguridad de aplicaciones - Vulnerabilidad A1 (Noviembre 2024)
Los productos de terceros reciben un golpe
Nadie se sorprenderá al saber que el número total de vulnerabilidades conocidas está creciendo año tras año, o que la mayoría depende de un ataque de red remoto para penetrar en redes vulnerables. Sin embargo, fallas significativas en los sistemas operativos y programas de Microsoft se están convirtiendo en una porción cada vez más pequeña del total. Secunia informa que el 86 por ciento de las vulnerabilidades activas en 2012 afectaron a productos de terceros como Java, Flash y Adobe Reader. En 2007, las vulnerabilidades de terceros constituían menos del 60 por ciento del total.
En el lado positivo, la ventana peligrosa entre el descubrimiento de una vulnerabilidad y la creación de un parche se está reduciendo. Secunia informa la disponibilidad de parches el mismo día para el 80 por ciento de estas amenazas en 2012, frente a un poco más del 60 por ciento en 2007. Eso deja un 20 por ciento que no tiene un parche el mismo día, o incluso dentro de los 30 días, pero sigue todo su software actualizado garantizará que obtenga todos esos parches el mismo día.
Inseguridad SCADA
La revisión de 2013 informa sobre vulnerabilidades en los sistemas SCADA (Control de supervisión y adquisición de datos). Estos sistemas controlan fábricas, plantas de energía, reactores nucleares y otras instalaciones industriales de gran importancia. El infame gusano Stuxnet destruyó las centrifugadoras de enriquecimiento de uranio en Irán al hacerse cargo de sus controladores SCADA.
Según Secunia, "el software SCADA hoy está en la etapa en que el software principal era hace 10 años… Muchas vulnerabilidades permanecen sin parchear durante más de un mes en el software SCADA". Un gráfico de tiempo de revisión de vulnerabilidades SCADA representativas revela que varios en la categoría de alto riesgo permanecieron sin parchear durante más de 90 días.
En teoría, los sistemas SCADA deberían ser menos vulnerables porque no están conectados a Internet. En la práctica, ese no es siempre el caso, e incluso una conexión de red local podría verse comprometida por los atacantes. Un "espacio de aire" total, sin ninguna conexión de red, no protegió las centrífugas Stuxnet. Fueron víctimas de unidades USB infectadas insertadas por técnicos sin saberlo. Claramente, los proveedores de software SCADA tienen mucho trabajo que hacer en cuanto a mantener la seguridad y eliminar parches.
Los hackers van por el oro
Una vulnerabilidad de día cero es una que acaba de ser descubierta, una vulnerabilidad para la cual no existe un parche. El informe de Secunia incluye un cuadro informativo que informa el número de días cero encontrados cada año en los 25 programas más populares y en los 50, 100, 200 y 400 principales. Los números generales difieren año tras año, alcanzando su punto máximo en 2011 con 15 días cero.
Lo que es más interesante es que dentro de un año determinado, los números apenas cambian a medida que crece el grupo de programas potencialmente comprometidos. Casi todos los días cero afectan a los programas más populares. De hecho, eso tiene mucho sentido. Descubrir una falla del programa que nadie más ha encontrado requiere mucha investigación y trabajo duro. Solo tiene sentido que los hackers se concentren en los programas más ampliamente distribuidos. Un exploit que tome el control total sobre el sistema de la víctima no vale mucho si solo un sistema en un millón tiene instalado el programa vulnerable.
Más para aprender
Llegué a los puntos más altos, pero hay mucho más que aprender del informe de vulnerabilidad de Secunia. Puede descargar el informe completo del sitio web de Secunia. Si el informe completo parece un poco abrumador, no se preocupe. Los investigadores de Secunia también han preparado una infografía que llega a todos los puntos altos.
