Video: Heartbleed Exploit - Discovery & Exploitation (Noviembre 2024)
No todas las vulnerabilidades críticas deben compararse con Heartbleed para tomarse en serio. De hecho, no hay necesidad de abrir Heartbleed o Shellshock cuando hay una nueva falla de software que requiere atención inmediata.
La semana pasada, Microsoft parchó una vulnerabilidad grave en SChannel (Secure Channel) que ha existido en todas las versiones del sistema operativo Windows desde Windows 95. Un investigador de IBM informó el error a Microsoft en mayo, y Microsoft solucionó el problema como parte de su noviembre Lanzamiento del parche del martes.
El investigador de IBM Robert Freeman describió la vulnerabilidad como un "error raro" similar a un unicornio ".
Los usuarios deben ejecutar Windows Update en sus computadoras (si está configurado para ejecutarse automáticamente, mucho mejor) y los administradores deben priorizar este parche. Algunas configuraciones pueden tener problemas con el parche y Microsoft ha lanzado una solución alternativa para esos sistemas. Todo está cuidado, ¿verdad?
FUD levanta su cabeza fea
Bueno, no del todo. El hecho es que hay, ¡siete meses después! - un número no trivial de computadoras que aún ejecutan Windows XP, a pesar de que Microsoft finalizó el soporte en abril. Por lo tanto, las máquinas XP aún corren el riesgo de un ataque de ejecución remota de código si el usuario visita un sitio web atrapado por los explosivos. Pero en su mayor parte, la historia es la misma que ha sido todos los meses: Microsoft corrigió una vulnerabilidad crítica y lanzó un parche. Parche el martes de negocios como de costumbre.
Hasta que no lo fue. Quizás los profesionales de seguridad de la información ahora están tan cansados que piensan que tienen que vender miedo todo el tiempo. Quizás el hecho de que esta vulnerabilidad se introdujo en el código de Windows hace 19 años provocó algún tipo de retroceso Heartbleed. O hemos llegado a un punto donde el sensacionalismo es la norma.
Pero me sorprendió ver Craig Young, un investigador de seguridad de Tripwire, en mi bandeja de entrada, lo siguiente en relación con el parche de Microsoft: "Heartbleed era menos poderoso que MS14-066 porque era 'solo' un error de divulgación de información y Shellshock era "explotable remotamente solo en un subconjunto de sistemas afectados".
Se ha convertido en una broma, una triste si lo piensas, que para que cualquier vulnerabilidad reciba algún tipo de atención, ahora necesitamos tener un nombre elegante y un logotipo. Quizás el próximo tenga una banda de música y un jingle pegadizo. Si necesitamos estas trampas para que las personas tomen en serio la seguridad de la información, entonces hay un problema, y no es el error en sí mismo. ¿Hemos llegado al punto en que la única forma de llamar la atención sobre la seguridad es recurrir a trucos y sensacionalismo?
Seguridad responsable
Me gustó lo siguiente: "Este es un error muy grave que debe ser reparado de inmediato. Afortunadamente, el ecosistema de actualización de la plataforma de Microsoft ofrece la capacidad de que cada cliente sea reparado por esta vulnerabilidad en horas usando Microsoft Update", dijo Philip Lieberman, presidente de Software Lieberman.
No me malinterpretes. Me alegra que Heartbleed haya recibido la atención que recibió, porque era grave y necesitaba llegar a personas ajenas a la comunidad infosec debido a su amplio impacto. Y el nombre de Shellshock, por lo que puedo decir, salió de una conversación en Twitter discutiendo la falla y las formas de probarla. Pero no hay necesidad de llamar a la vulnerabilidad SChannel "WinShock" o debatir su gravedad en relación con esos defectos.
Puede, y debe, sostenerse por sí mismo.
"Esta vulnerabilidad plantea un serio riesgo teórico para las organizaciones y debe repararse lo antes posible, pero no tiene el mismo impacto en el tiempo de lanzamiento que muchas de las otras vulnerabilidades recientemente publicitadas recientemente", Josh Feinblum, vicepresidente de seguridad de la información en Rapid7, escribió en una publicación de blog.
Lieberman hizo una observación interesante, señalando que la vulnerabilidad de SChannel no era como Heartbleed, ya que no es como si cada proveedor de código abierto o software de cliente tuviera que solucionar el problema y lanzar su propio parche. El software comercial con mecanismos de entrega de parches definidos, como lo que Microsoft ha implementado, significa que no hay necesidad de preocuparse por "una mezcla de componentes de diferentes versiones y escenarios de parches".
No importa si es difícil (dice IBM) o trivial (dice iSight Partners) explotar. La charla en línea sugiere que esto es solo la punta del iceberg, y la vulnerabilidad SChannel tiene el potencial de crear un gran desastre. Es un error grave. Hablemos del tema por sus propios méritos sin recurrir a tácticas de miedo.
