Sobre vulnerabilidades adyacentes a vulnerabilidades: Schneier sobre seguridad


Sobre vulnerabilidades adyacentes a vulnerabilidades

En el virtual Conferencia Enigma, Maggie Stone de Venture Zero de Google dio una hablar sobre las hazañas de día cero en la naturaleza. En él, habló sobre la frecuencia con la que los proveedores corrigen vulnerabilidades solo para que los atacantes modifiquen sus exploits para que funcionen nuevamente. A partir de una Revisión de tecnología del MIT artículo:

Poco después de ser detectados, los investigadores vieron que se utilizaba un exploit en la naturaleza. Microsoft emitió un parche y solucionó la falla, más o menos. En septiembre de 2019, se descubrió que el mismo grupo de piratería estaba explotando otra vulnerabilidad related.

Más descubrimientos en noviembre de 2019, enero de 2020 y abril de 2020 sumaron al menos cinco vulnerabilidades de día cero que se explotaron de la misma clase de error en poco tiempo. Microsoft emitió varias actualizaciones de seguridad: algunas no lograron corregir la vulnerabilidad que se estaba atacando, mientras que otras solo requirieron cambios leves que requirieron solo una línea o dos para cambiar el código del pirata informático para que la vulnerabilidad funcione nuevamente.

[…]

«Lo que vimos atraviesa la industria: los parches incompletos facilitan que los atacantes exploten a los usuarios con días cero», dijo Stone el martes en la conferencia de seguridad Enigma. “No exigimos a los atacantes que creen todas las nuevas clases de errores, desarrollen una explotación completamente nueva, miren un código que nunca antes se ha investigado. Permitimos la reutilización de muchas vulnerabilidades diferentes que conocíamos anteriormente «.

[…]

¿Por qué no se están reparando? La mayoría de los equipos de seguridad que trabajan en empresas de computer software tienen tiempo y recursos limitados, sugiere ella, y si sus prioridades e incentivos son defectuosos, solo verifican que hayan solucionado la vulnerabilidad muy específica que tienen frente a ellos en lugar de abordar los problemas más grandes en la raíz de muchas vulnerabilidades.

Otro artículo en la charla.

Ésta es una thought importante. No es suficiente parchear las vulnerabilidades existentes. Necesitamos hacer que sea más difícil para los atacantes encontrar nuevas vulnerabilidades para explotar. Cerrar familias enteras de vulnerabilidades, en lugar de vulnerabilidades individuales una a la vez, es una buena manera de hacerlo.

Publicado el 15 de febrero de 2021 a las 6:14 h. •
11 comentarios



Enlace a la noticia unique