BAQUIA

Los hackers cambian su modus operandi, cualquiera puede ser el objetivo

RoboInformacion.jpg

Es sabido que el adjetivo vulnerable significa frágil, débil, indefenso, y que un objeto o sistema vulnerable es aquel que tiene algún defecto que facilita tomar su control. Pues bien, un software o aplicación es vulnerable cuando tiene fallos tales como errores de programación que comprometen la seguridad del sistema informático donde se esté ejecutando.

Las vulnerabilidades de software se pueden dividir en dos grandes grupos, las desconocidas, también llamadas Zero-Day, y las conocidas, que se recogen en una lista accesible públicamente y que se denomina Common Vulnerabilities and Exposures (CVE) que en España está traducida por el Centro de Respuesta a Incidentes en Seguridad (CERT) perteneciente al Instituto Nacional de Tecnologías de la Comunicación (Inteco) y que se puede consultar mediante un buscador.

Ambos tipos de vulnerabilidades de software suponen un riesgo considerable para la seguridad de cualquier sistema. En las Zero-Day aparecen de una forma inesperada y los hackers las pueden explotar de una forma más efectiva puesto que al ser desconocidas no existen actualizaciones de seguridad que las subsanen, pero las vulnerabilidades conocidas también suponen un importante peligro dado que cualquier persona tiene acceso a ellas, y puede realizar un rastreo de sistemas a través de Internet que contengan esa vulnerabilidad y no tengan aplicado la actualización de seguridad correspondiente.

Hace unos años los hackers trabajaban sobre un objetivo previamente identificado, es decir, atacaban a sistemas concretos seleccionados con “nombre y apellidos”. Una vez determinado el objetivo se investigaban sus vulnerabilidades y finalmente se atacaba el sistema aprovechándose de ellas.

Hoy en día la forma de trabajo ha cambiado y no se busca atacar a alguien en concreto, sino explotar de forma masiva una vulnerabilidad, por lo que cualquiera está expuesto aunque muchos no lo crean. Para ello se realiza una rastreo global de infraestructuras en Internet (Google Dork) que contengan el software vulnerable, a continuación se programa o se consigue el método de ataque para esa vulnerabilidad, por ejemplo en una base de datos de exploits pública como la Exploits Database para terminar con la ejecución del ataque.

Google Dork

Google Dork. Fuente Imperva

Este tipo de ataque es sobre todo efectivo durante el periodo de tiempo que transcurre entre la publicación de la vulnerabilidad y el lanzamiento de la actualización que la corrige, pero también puede seguir siendo válido posteriormente dado que no todos los sistemas se ajustan a tiempo cuando aparecen las actualizaciones.

No hay que olvidar que el fin de un ataque informático es tomar control de un sistema para robar información (contraseñas, datos confidenciales , etc ..) de la que se pueda obtener un rendimiento económico.

Por otro lado, cuando hablamos de objetivos de ataque, hablamos no sólo de ordenadores personales, sino principalmente de los servidores de las empresas que contienen datos críticos y sensibles que no deberían ser expuestos puesto que están sujetos a normativas como la LOPD, la Ley de Propiedad Intelectual, patentes, etc.

Atendiendo a este nueva forma de trabajo de la comunidad hacker, parece lógico pensar que la estrategia más importante para la seguridad de los sistemas es la aplicación exhaustiva de las actualizaciones de seguridad del software; pero no debe ser la única. La empresa de seguridad informática Imperva considera que los parches de seguridad no son suficientes por las siguientes razones:

  • No todas las vulnerabilidades están registradas en la lista CVE.

  • Las actualizaciones pueden tardar en llegar.

  • Se descubren vulnerabilidades en aplicaciones que ya han dejado de tener soporte.

  • Muchos tipos de software libre no tienen soporte.

  • La aplicación de los parches de seguridad requiere un testeo previo a su implantación.

Para proteger uno de los vectores de ataque de un sistema informático como son las aplicaciones web, los ingenieros de Imperva nos dan las siguientes recomendaciones técnicas:

  • Asumir que el software de terceros sobre el que se construyen las aplicaciones contienen vulnerabilidades

  • Realizar test de penetración programados para detectar las vulnerabilidades

  • Desplegar la aplicación web detrás de un Firewall de Aplicaciones Web (WAF) que facilite:

    • La aplicación de parches virtuales de las vulnerabilidades encontradas en el test de penetración

    • Mitigar nuevos riesgos

    • Mitigar riesgos que el test de penetración ha pasado por alto

    • Usar un Cloud WAF para las aplicaciones web alojadas en un hosting

  • Aplicar las actualizaciones de seguridad de los fabricantes cuando sea posible

  • Aplicar parches virtuales a las nuevas vulnerabilidades publicadas por CVE

Y tú ¿ aplicas las actualizaciones de seguridad de tus servidores regularmente ? ¿Crees que merece la pena protegerse con un WAF? 


Compartir en :


Noticias relacionadas




Comentarios