Vulnerabilidades, Vulnerabilidades y más Vulnerabilidades??

Todas las personas que están en el mundo de la seguridad sabe y conoce que cada vez hay más sistemas y servicios al alcance de las personas y por tanto las compañías de desarrollo de software tienen que lanzar sus productos antes que la competencia, por tanto el incremento de bugs y agujeros de seguridad cada vez es mayor, ya que la mayoría de productos están a medio desarrollar y no suelen pasar controles de calidad ni seguridad.

Esto lo podemos ver en las últimas semanas ya que se ha alcanzado el nivel más alto de vulnerabilidades detectadas, ya sea en sistemas Linux como en Microsoft, además de lanzarse actualizaciones de seguridad de Symantec, Oracle, Google Chrome, IBM Lotus Notes, Apple Quicktime, Red Hat para Jboss, Adobe Flash, Cisco WebEx y SAP.

Además han sido publicados nuevos ataques contra los sistemas de tokens como el SecurID de RSA basados en los ataques anteriores pero reduciendo el tiempo necesario para comprometer la clave. Esto hace que haya muchas disputas entre los investigadores y desde el blog de RSA avisan que la probabilidad de realizar el ataque en un entorno real es muy poco probable.

Como he comentado al inicio, el número de vulnerabilidades detectadas cada vez es mayor, creciendo un 23% el número de vulnerabilidades con respecto al mismo periodo del año 2011. Lo que hace que las compañías tengan que dedicar cada vez más recursos a la gestión de vulnerabilidades para mantener los sistemas actualizados, además de que los usuarios cada vez tienen más obsoletos los equipos ya que no suelen aplicar las actualizaciones con regularidad.

Muchas de estas vulnerabilidades son explotadas con la llegada del verano y las vacaciones, ya que muchos ataques son lanzados por spammers que aprovechan estos días para enviar mensajes de agencias de viajes, hoteles y aerolíneas con documentos y enlaces que pueden comprometer a los usuarios, donde se aconseja a los usuarios que realicen sus reservas desde las webs oficiales.

En esta entrada quiero destacar una vulnerabilidad en Microsoft XML Core Services, publicada y reconocida por Microsoft, catalogada con riesgo alto, donde un atacante remoto no autenticado puede ejecutar código en el sistema de la víctima, muy fácil de explotar ya que con tan solo que el usuario visite una página web especialmente diseñada para explotar esta vulnerabilidad el atacante podría hacerse con el sistema de la víctima.

Un CIO no solo se tiene que preocupar por las vulnerabilidades que afecte a sus servicios sino por todo aquello que pueda afectar a su información, el que haya visto las noticias estas semanas habrá visto que la tormenta tropical Debby ha causado inundaciones, cortes de energía y mucho viento en EEUU donde compañías que no estaban preparadas han visto afectados sus servicios. Todos sabemos que es muy difícil predecir huracanes y tormentas, y por eso la mayoría de las compañías preocupadas por sus servicios y sus datos desarrollan planes de Disaster Recovery, donde pueden garantizar la disponibilidad de su servicio y sus datos. Hay destacar los problemas que han encontrado proveedores de Cloud como Amazon EC2 o servicios como Netflix, Pinterest o Instagram que no disponían de planes de Disaster Recovery y por tanto los usuarios no pudieron utilizar los servicios. Así que siempre es recomendable leer y exigir acuerdos de nivel de servicio a los proveedores, y en el caso que esto no sea posible, conocer la localización de nuestros datos o llegar a un acuerdo con el proveedor de Cloud para realizar un plan de Disaster Recovery.

Vulnerabilidades, seguridad física y … cumplimiento legal. Pues sí, los responsables de seguridad de la información deben tener un conocimiento amplio de todo aquello que puede afectar a los datos de la organización, entre ellos está también el cumplimiento legal. La semana pasada el departamento de salud del estado de Alaska fue multada con 1.7 millones de dólares por no proteger adecuadamente la información de los paciente. Esto es una muestra de que el gobierno de EEUU está incrementado los esfuerzos para que se cumpla la legislación de protección de datos, y así evitar el robo de información como el que sufrió la reconocida cadena de hoteles Wyndham donde le robaron más de 600 mil cuentas de tarjetas de crédito.

Así que para no extenderme más, para proteger la información de las organizaciones no sólo hay que tener en cuenta elementos técnicos como bugs, vulnerabilidades, exploit, etc sino que además se tiene que conocer todo lo que rodea, manipula o puede influir en la información de las organizaciones.

Saludos