Llegamos a ustedes gracias a:



Noticias

Estudio encuentra que las vulnerabilidades de día cero abundan en el software popular

[12/12/2013] Los suscriptores de organizaciones que venden exploits para vulnerabilidades que aún no conocen los desarrolladores de software, obtienen acceso diario a las fallas en las tecnologías más populares del mundo, señala un estudio.
NSS Labs, que está en el negocio de probar productos de seguridad para suscriptores corporativos, encontró que en los pasados tres años, los suscriptores de dos grandes programas de vulnerabilidades tuvieron acceso todos los días a al menos 58 fallas explotables en los productos de Microsoft, Apple, Oracle o Adobe.
Además, NSS Labs encontró que en promedio pasan 151 días entre el momento en el que los programas compraron una vulnerabilidad de un investigador y el momento en el que el proveedor afectado lanza el parche.
Los hallazgos, presentados el jueves, se basaron en el análisis de 10 años de datos de TippingPoint, un fabricante de seguridad para redes que HP adquirió en el 2010, e iDefense, un servicio de inteligencia de seguridad de propiedad de VeriSign. Ambas organizaciones compraron vulnerabilidades, informaron a los suscriptores y trabajaron con los proveedores en la producción de los parches.
Stefan Frei, director de investigación de NSS y autor del reporte, indicó que el número real de vulnerabilidades secretas disponibles para los cibercriminales, agencias del gobierno y corporaciones es mucho mayor, debido a la cantidad de dinero que están dispuestos a pagar.
Los cibercriminales compran las llamadas vulnerabilidades de día cero en el mercado negro, mientras que las agencias gubernamentales y las corporaciones las compran de brokers y cámaras de compensación de exploits, como VUPEN Security, ReVuln, Endgame Systems, Exodus Intelligence y Netragard.
Los seis proveedores en forma colectiva pueden proporcionar al menos 100 exploits al año a los suscriptores, indico Frei. De acuerdo a una lista de precios de febrero del 2010, Endgame vendió 25 exploits de día cero al año por 2,5 millones de dólares.
En julio, el fundador de Netragard, Adriel Desautels, declaró a The New York Times que la vulnerabilidad promedio se vende a alrededor de 35 a 160 mil dólares.
Parte de la razón por la que las vulnerabilidades siempre se encuentran presentes es debido a los errores de los desarrolladores, y también porque los fabricantes de software se encuentran en el negocio de vender productos, señalan los expertos. Lo último significa que cumplir con los plazos para la entrega de los productos de software es más importante que gastar dinero y tiempo adicional en la seguridad.
Debido al número de vulnerabilidades que se compran y venden, las compañías que consideran que su propiedad intelectual los convierte en objetivos primarios para los hackers deberían asumir que sus sistemas de computación ya han sido vulnerados, sostuvo Frei.
No es posible una prevención del 100%, señaló el ejecutivo.
Por tanto, las compañías necesitan tener los expertos y las herramientas de seguridad para detectar las partes comprometidas, sostuvo Frei. Una vez que se descubre una brecha, entonces debe tenerse un plan bien definido para tratar con ella.
El plan debería incluir el recojo de evidencia forense para determinar cómo ocurrió la brecha. Además, todo el software en los sistemas infectados deberían retirarse y ser instalados nuevamente.
Los pasos que se toman luego de una brecha a la seguridad deberían ser revisados regularmente para asegurar que se encuentren actualizados.
Antone Gonsalves, CSO (EE.UU.)