Llegamos a ustedes gracias a:



Reportajes y análisis

La carrera armamentista en seguridad se calienta

Pero TI batalla contra los ataques

[13/11/2012] Estamos en el medio de lo que es esencialmente una carrera armamentista de seguridad, con ciber delincuentes que constantemente buscan nuevas y mejores formas de atacar a los sistemas mientras que las organizaciones refuerzan sus defensas. Defender con éxito sus activos requiere una combinación de tecnología, políticas de seguridad, y un refuerzo y capacitación de los usuarios.
"El número de frentes de riesgo y guerra, como algunos lo llaman, sin duda se está multiplicando", señala Clinton McFadden, director de operaciones senior de investigación y desarrollo X-Force de IBM, que acaba de publicar los resultados de su reporte semestral de riesgos y tendencias X-Force 2012.
McFadden añade que un fuerte aumento en las explotaciones relacionadas con el navegador, persistentes amenazas avanzadas (APT) cada vez más sofisticadas -incluyendo APT que apuntan con éxito a las Mac- y la creciente preocupación en torno a los dispositivos móviles y los programas traiga su propio dispositivo (BYOD).
"Hemos visto un aumento en el número de ataques sofisticados y dirigidos, específicamente en las Mac y la exposición de contraseñas de redes sociales", añade. "Mientras que estos objetivos sigan siendo lucrativos, los ataques seguirán llegando y, en respuesta, las organizaciones deben adoptar enfoques proactivos para proteger mejor sus empresas y sus datos".
Como ejemplo de la carrera armamentista, el informe de X-Force apunta a un incidente del año pasado: "en uno de los casos, los atacantes anularon la autenticación de dos factores, algo que se suele pensar es aprueba de fallas, con simplemente convencer a un proveedor de telefonía móvil para que reubique el correo de voz de una persona, dándole a los atacantes la información que necesitaban para restablecer una contraseña".
Sistemas conectados, aplicación de políticas y humanos
De hecho, a medida que la tecnología de seguridad eleva el nivel de penetración de los sistemas, los atacantes más a menudo encuentran su camino a través de grietas que existen en los intersticios del sistema, la aplicación de la política y los seres humanos, según el informe.
"Como organización de investigación de seguridad, IBM X-Force tradicionalmente ha visto las brechas de seguridad con un enfoque técnico. Sin embargo, hemos modificado nuestra visión de ataques e infracciones en el tiempo, para abarcar un mayor contexto de negocios. La tendencia general de la brecha sigue en el 2012, al tiempo que varias de las principales empresas de alto perfil han tenido que lidiar con las consecuencias de contraseñas y otros datos personales filtrados. La industria del cuidado de la salud en particular parece haber sido golpeada duramente. Aunque los productos y tecnologías de seguridad pueden haber mitigado muchos de estos lamentables acontecimientos, estamos viendo más que nunca cómo la interconexión de los sistemas, la pobre aplicación de las políticas y el error humano es mucho más influyente que cualquier simple vulnerabilidad de seguridad".
"Hemos visto varios titulares referentes a los casos en que las identidades digitales fueron diezmadas, no a través de malware, keyloggers, craqueo de contraseñas o a través del acceso a la computadora o dispositivo de la víctima. En cambio, los chicos malos logran sus hechos infames mediante el sacrificio de una pequeña cantidad de datos personales procedentes de fuentes públicas, usando ingeniosos trucos de ingeniería social y en función de las políticas laxas de un puñado de empresas a las que les confiamos nuestros datos privados".
La inyección SQL, una técnica usada para atacar las bases de datos a través de un sitio web, sigue siendo la vulnerabilidad más comúnmente explotada. De hecho, junto con el cross-site scripting, está creciendo rápidamente como un método favorito de ataque. Los atacantes están combinando diferentes tecnologías -como inyección SQL, cross-site scripting e inyección de comandos shell- para crear ataques por capas que tengan una mayor probabilidad de éxito y que sean más difíciles de prevenir. Los criminales también están utilizando cada vez más el cifrado para ocultar sus hazañas, haciendo más difícil que los sistemas de seguridad de red los detecten.
"Esperamos que el uso de técnicas de ofuscación continúe mientras mejoran las tecnologías que identifican vulnerabilidades, malware y pérdida de datos", señala el informe. "Además, al tiempo que se despliegan nuevas aplicaciones, y así como las nuevas tecnologías (servicios en la nube, aplicaciones móviles y otras) surgen e influyen en la forma en que nos comunicamos a través de Internet, habrán más razones para ocultar posibles ataques, suben las apuestas cada día".
Los White Hats ven el éxito
El panorama no es del todo sombrío, agrega McFadden. Los derribos de múltiples botnets en el 2011 (y de la botnet Grum en julio del 2012), redujo drásticamente los niveles del spam y el phishing, los cuales continúan siendo bajos. Por ahora, las organizaciones que han adoptado la tecnología IPv6 están viendo menos actividad maliciosa, aunque McFadden señala que eso puede cambiar a medida que los atacantes adopten IPv6. Si bien las vulnerabilidades globales muestran una tendencia ascendente (posiblemente a un máximo histórico a finales de año), los datos de X-Force muestran una disminución en las hazañas verdaderas (hazañas verdaderas son los programas funcionales que pueden atacar a una computadora venciendo un código a prueba de concepto). X-Force dice que solo un 9,7% de todas las vulnerabilidades divulgadas públicamente están sujetas a ataques reales.
"La buena noticia es que el número de divulgaciones de vulnerabilidades de inyección SQL en realidad se está estabilizando", señala McFadden.
Mientras que el número de ataques que se aprovechan de las vulnerabilidades de inyección SQL siguen aumentando, McFadden señala que la disminución de las divulgaciones de vulnerabilidades es una señal de que las organizaciones están poniendo mejores controles para detectar esas vulnerabilidades mediante código antes de implementarlas.
El malware móvil todavía es una amenaza incipiente
En lado móvil, los atacantes continúan investigando la mejor manera de explotar tales dispositivos, pero a pesar de un creciente número de vulnerabilidades en aplicaciones y sistemas operativos móviles todavía tienen que resolver a la manera de aprovecharlas.
"Aunque el área móvil sigue siendo una gran preocupación, no hemos visto el aumento que sospechábamos en el malware móvil", señala McFadden.
Por el momento, la mayor amenaza para los móviles parece ser ataques Premium de SMS, en los que el atacante crea un servicio de Premium de SMS y luego usa las aplicaciones internas de un teléfono para enviar mensajes a ese servicio, generando ingresos directos al bolsillo del atacante. Los ataques que intentan descubrir la propiedad intelectual de los dispositivos móviles, por ejemplo, aún no se manifiesta.
"Esperamos que eso cambie a medida de que aumente la sofisticación de los atacantes", advierte McFadden. "Parece que no hay controles adecuados en las empresas que están permitiendo que los usuarios traigan su propio dispositivo. En algún momento, esta colisión de la sofisticación del malware, la investigación de los chicos malos y la falta de controles móviles, llegarán a un punto crítico".
La tecnología de sandboxing tecnología hace que los documentos estén más seguros
En el ínterin, sin embargo, hay otro punto brillante: el sandboxing. Las sandboxex o cajas de arena trabajan mediante el aislamiento de una aplicación del resto del sistema, de modo que si la aplicación se ve comprometida, el código atacante se limita a lo que puede ejecutar o acceder la aplicación. Los ejemplos de alto perfil incluyen a Adobe, Google y Microsoft. Adobe ha implementado sandboxes, en Adobe Reader X y versiones posteriores, así como Adobe Flash Player 11.3 y versiones posteriores. Google ha puesto en marcha cajas de arena en el navegador Chrome y en el visor de PDF incorporado en Chrome y en Flash Pepper (el visor de Flash incorporado en Chrome). Microsoft ha puesto en marcha cajas de arena en Internet Explorer 7 y versiones posteriores de Windows Vista. Para los documentos, ha añadido una sandbox para Microsoft Office 2010 (en el modo de vista protegida).
"Vemos que el número de vulnerabilidades, especialmente en PDF, realmente ha decrecido debido al sandboxing, a un punto en el que la gente realmente ya no está apuntando a esas plataformas", señala McFadden. "Ya no es fructífero. Ahora se necesitan dos o tres vulnerabilidades para salir de la caja de arena; se vuelve un calvario. Esto es algo que los fabricantes de software pueden hacer para ayudar realmente a sus clientes y hacer que sus productos sean más seguros de usar".
Thor Olavsrud, CIO (EE.UU.)