Page 23

Boletín de observación tecnológica en Defensa 49

en profundidad de estilo en la codificación. • Establecimiento de fechas límite de entrega de proyectos inamovi-bles. • Cambios en la codificación en base a petición de nuevas funcio-nalidades. • Tolerancia a los defectos. • No tener actualizadas las aplica-ciones en producción con los par-ches correspondientes, configura-ciones erróneas, etc. • Por otro lado, el problema alcan-za mayores dimensiones cuando las aplicaciones son amenazadas y atacadas, no solo en su fase de operación, sino también en el resto de fases de su ciclo de vida 2: • Desarrollo. Un desarrollador pue-de alterar, de forma intencionada o no, el software bajo desarrollo comprometiendo su fiabilidad fu-tura durante la fase de operación. • Distribución e instalación. Ocurre cuando no se protege el software evitando que se manipule antes de ser enviado o publicado. Del mis-mo modo, si el instalador del sof-tware no bastiona la plataforma en la que lo instala o la configura de forma insegura, queda vulnerable a merced de los atacantes. • Operación. Cualquier software que se ejecuta en una plataforma co-nectada a la red tiene sus vulne-rabilidades expuestas durante su funcionamiento. El nivel de expo-sición variará dependiendo de si la red es privada o pública, conecta-da o no a Internet, y si el entorno de ejecución del software ha sido configurado para minimizar sus vulnerabilidades. • Mantenimiento o sostenimiento. Puede producirse debido a no pu-blicar los parches de las vulnerabi-lidades detectadas en el momento oportuno o incluso por introducir código malicioso por parte del personal de mantenimiento en las versiones actualizadas del código. Según el informe «2011 Top Cyber Security Risks Report»  1, las vulne-rabilidades detectadas en aplicacio-nes alcanzaron su punto máximo en el año 2006 iniciando a partir de ese año un lento declive (ver figura 2). Esta disminución de vulnerabilidades Fig. 2. Vulnerabilidades descubiertas por OSVDB, 2000 - 2011. (Fuente: Referencia 3). detectadas no significa que el softwa-re sea cada vez más seguro. Es una sensación de seguridad falsa, pues el número de vulnerabilidades de alta severidad está creciendo a un ritmo más rápido que los otros niveles de vulnerabilidad (CVSS1 8 a 10, clasifi-cación definida en la OSVDB2). En la figura 3 se refleja cómo el porcentaje de vulnerabilidades de alta severidad se ha incrementado en los últimos diez años. Las vulnerabilidades de alta severi-dad dan lugar a que un atacante pue-da explotarlas rápidamente y hacerse con el control total del sistema. Su explotación requiere un conocimiento poco especializado de la aplicación al alcance, no solo de organizaciones cibercriminales, sino de cualquiera con conocimientos de informática. En el informe «HP Security Research» del año 2015 6, se publicó un grá-fico que mostraba las vulnerabili-dades descubiertas durante el año 2014 (figura 4). En él se indicaba que la aplicación más explotada fue In-ternet Explorer debido a la vulnera-bilidad CVE-2014-0322 del tipo use after free, que básicamente consiste en el uso de un espacio de memoria después de liberarla, haciendo uso de Adobe Flash para saltarse las de-fensas contra este tipo de amenazas, que implementan los sistemas opera- 1  Common Vulnerability Scoring System (CVSS). Es un sistema que categoriza la severidad de una vulnerabilidad, de ma-nera estricta a través de fórmulas, propor-cionando un estándar para comunicar las características y el impacto de una vulne-rabilidad en el software 2  Vulnerability information from the Open Source Vulnerability Database (OSVDB). http://osvdb.org/search/advsearch tivos del tipo Windows para entregar su carga útil ejecutable final. El exploit fue visto por primera vez en la Ope-ración SnowMan, dirigida a entidades del gobierno de Estados Unidos y sus compañías de defensa. Tal y como se ha mencionado, ciertos aspectos son especialmente críticos a la hora de identificar las vulnerabi-lidades más frecuentes: su compleji-dad, su extensión en líneas de código y el nivel de exposición a los ataques. Estos factores son los que a fin de cuentas determinan que sean las aplicaciones web las que tienen más probabilidades de ser atacadas y, por tanto, presenten el mayor número de vulnerabilidades conocidas. Además erróneamente, a pesar de que los datos podrían convencer de lo contrario, se sigue confiando en que la implantación de tecnologías y dispositivos de seguridad de red como cortafuegos, sistemas de ges-tión y correlación de eventos (SIEM), sistemas de detección de intrusos, sistemas de gestión de acceso y ci-frado del tráfico, etc., son medidas suficientes para proteger los siste-mas de la organización. Sin embargo, los atacantes continúan intentando descubrir nuevos fallos en el softwa-re relacionados con la seguridad del sistema que den lugar a una vulnera-bilidad con un gran impacto y riesgo asociado para la entidad propietaria. El aumento de los ataques al software vulnerable ha dejado patente la insufi-ciencia de las protecciones a nivel de infraestructura. En este contexto es conveniente minimizar los ataques en la capa de aplicación y, por tanto, el número de vulnerabilidades explota-bles. Por todo ello se considera nece-sario que las diferentes organizacio- Boletín de Observación Tecnológica en Defensa n.º 49. Primer trimestre 2016 23


Boletín de observación tecnológica en Defensa 49
To see the actual publication please follow the link above