Agujero de Seguridad, Vulnerabilidad del Sistema

Una vulnerabilidad es en toda regla un fallo en el sistema que se puede explotar para violar la seguridad del sistema y obtener información o control sobre esta.

Tipos de agujeros de seguridad informáticos

De software. Ejemplos:

    • Inyección SQL
    • Desbordamiento de búfer
    • Clickjacking
    • Condiciones de carrera
    • Cross-site request forgery
    • Cross-site scripting
  • De hardware
  • Del entorno físico del sistema
  • Del personal involucrado
  • De procedimientos de administración, organización y seguridad involucrados
  • De la red de comunicaciones utilizada
Vulnerabilidad informática

Prevención de vulnerabilidades informáticas

La mejor técnica de prevención es la eliminación de estas brechas de seguridad, además en caso de existir es importante que las podamos localizar facilmente y esto se logra desde el proceso de desarrollo de una aplicación, con el S-SDLC o Ciclo de vida de dearrollo seguro de software donde la seguridad máxima es la principal meta.

Dentro de las buenas prácticas para la prevencia de agujeros de seguridad están el mantenimiento y actualización de las herramientas de desarrollo, prácticas de codificación limpias con requisitos de seguridad establecidos y depuración del software de módulos y archivos que no se utilicen, registro de todos los eventos en una bitácora (log), evitar mostrar mensajes de error tal cual los genera el sistema para evitar fugas de información sensible, utilizar autorización además de autenticación, separar los datos de las instrucciones de control, validar los datos de forma explícita e identificar los más sensibles para determinar cómo gestionarlos, utilizar procedimientos de actualización oficiales y seguros, utiliza un configuración segura por defecto.

Herramientas para detección de Vulnerabilidades informáticas

Fuzzers. Consiste en inyectar entradas con datos aleatorios para valorar el comportamiento de la red.

Herramientas de prueba de seguridad de aplicaciones (AST-Application Security Testing)

  • SAST-Static Application Security Testing, analiza el código.
  • DAST-Dynami Application Security Testing, análisis en la salida obtenida al ejecutar ciertas entradas.
  • RAST-Run-time Application Security Testing, análisis en tiempo real de la aplicación estando inmersas dentro del entrono de ejecución pueden analizar como esta se va realizando.
  • IAST-Interactive Application Security Testing, combinan la observación interna y externa de una aplicación en ejecución realizando un análisis interactivo, así se puede conocer si las vulnerabilidades son realmente explotables.
  • Herramientas Híbridas, unión de las herramientas previas para un fin particular.

La búsqueda de vulnerabilidades de seguridad es realizada principalmente por atacantes y profesionales, unos para aprovechar las vulnerabilidades y para hacer vulnerables a los sistemas así conseguir de forma ilegal beneficios monetarios de ello, ya sea directamente (por ejemplo, permitiendo el uso de tarjetas de crédito ajenas) o indirectamente (por ejemplo, vendiendo información privada sobre las víctimas).

En el otro lado los profesionales de la informática y en especial de la seguridad. Estos profesionales, por distintas motivaciones, estudian de forma legal los sistemas y muchas veces logran encontrar vulnerabilidades. Este tipo de personas están interesadas en la revelación de la información. De esta forma acreditan haber encontrado la misma y así pueden apuntarse el mérito.

Negocios en el mundo de las vulnerabilidades

  • Casi desde el principio de los sistemas de información ha habido, y sigue habiendo, un mercado negro o mercado underground e ilícito de vulnerabilidades en el que los atacantes venden información no revelada públicamente sobre vulnerabilidades para que otros puedan aprovecharlas de forma ilícita (por ejemplo, robar dinero, causar daños, espionaje, recopilar información para chantaje, divulgación de información falsa como verdadera (para por ejemplo hacer pump and dump) o adware indeseado. Un ejemplo contrastado de uso del mercado underground para la venta de información sobre vulnerabilidades es el caso de la vulnerabilidad del Microsoft Windows WMF rendering fue vendida en el mercado ilícito. Hay dos tipos de negocios relacionados con este tipo de mercado: La contratación para atacar un objetivo específico (por ejemplo, persona u organización) y por otro lado la compra de productos ya elaborados y listos para ser usados (exploits). Para ponerse en contacto, las partes de este tipo de mercado usan canales de IRC y sitios web específicos. Al ser un mercado ilícito los negocios no son públicos y esto facilita la venta del mismo producto a distintos compradores y así sacar un mayor beneficio.
  • TippingPoint, una división de 3Com, ofrece sistemas de detección de intrusos para protegerse contra vulnerabilidades. Esta compañía aplica una política de seguridad de revelación responsable.
  • iDefense, una compañía de Verisign, se dedica a la venta de información sobre vulnerabilidades. Dispone de un servicio de suscripción en el cual los miembros pagan por recibir notificaciones sobre las vulnerabilidades y sobre soluciones o formas de mitigar el impacto de dichas vulnerabilidades hasta que el proveedor provea una solución. Esta compañía aplica una política de seguridad de revelación responsable.
  • Algunos proveedores de productos convocan Bug Bounty’s que son convocatorias para que hackers e investigadores sobre seguridad investiguen sus productos y, si encuentran e informan sobre vulnerabilidades se les gratifica por ello. Algunas de las organizaciones que han convocado este tipo de concursos son Mozilla, Microsoft, Google o Facebook.​
  • Muchos gobiernos tienen programas en los que vulnerabilidades que no son públicas pueden ser usados de forma defensiva u ofensiva con el objetivo de defender los intereses de los que detentan el poder. En 2001 ya se pensaba​ que más de 20 países tenían o estaban desarrollado capacidades para desarrollar ataques informáticos (guerra en red y guerra informática).
  • Wabisabi Labi era un site que permitía la adquisición de vulnerabilidades. Permitía cuatro tipo de transacciones: Subastas tradicionales, subastas con más de un ganador, compras inmediatas y compras de un comprador exclusivo.
  • Argeniss, Inmunity y GLEG Ltd son pequeñas compañías que contratan a sus propios investigadores y venden suscripciones a sus servicios para proveer información sobre las vulnerabilidades que encuentran. Esta información no la comunican a los proveedores de los productos a que se refieren. De esta forma incrementan el valor y el tiempo de vida de las vulnerabilidades con las que comercian. Le dan a la información un carácter privado. Esto ha tenido importantes críticas desde el punto de vista ético.
¿Qué es un DLP y para qué sirve?

¿Qué es un DLP y para qué sirve?

La manera en cómo la información circula y se almacena en las empresas ha evolucionado en los últimos años. Y es que antes de la llegada de la era digital, solíamos usar diferentes tipos de mobiliarios para guardar papeles y documentos de muchísima importancia, de...

Herramientas antimalware

Herramientas antimalware

¿Qué es un antimalware?Se trata de la línea de software destinada a la defensa y protección de equipos y sistemas informáticos (servidores, ordenadores, móviles, electrodomésticos y aparatos inteligentes, etc.) frente a cualquier tipo de software o código malicioso al...

Más de diez maneras de robar una contraseña

Más de diez maneras de robar una contraseña

Una contraseña es algo habitual en nuestros días, algo tan sencillo que al ser secreto, permite una seguridad única, imprescindible hoy en nuestros días las contraseñas se han convertido en algo tedioso, la mayoría de las personas en edad laboral debe de lidiar con...

× ¡Escríbenos por Whats App aquí!