Hay más vulnerabilidades en aplicaciones, que en sistemas operativos.

3 May 2005 en Seguridad

Cada día se detectan nuevas vulnerabilidades críticas en el software y, contra la creencia general, esto ocurre en aplicaciones y principales bases de datos y no en los sistemas operativos.
Esta información surge del informe trimestral “The Top 20 Internet Security Vulnerabilities” publicado por SANS Institute, organización de capacitación y certificación en seguridad con sede en Bethesda, Maryland. Los analistas de SANS publicaron este informe anualmente y a partir de este mes, lo harán trimestralmente según lo informó Alan Paller, su director de investigación.
“Esta lista se hace con la ayuda del FBI, el Gobierno de los EE.UU y el de Inglaterra desde el año 2000. Le damos a la gente una lista de vulnerabilidades que realmente necesitan ser corregidas. Recientemente, hemos recibido informes de usuarios y auditores que han estado utilizando el informe Top 20 como benchmark que les permite estar seguros de bloquear las vulnerabilidades imprescindibles. Es por eso que se decidió hacer el informe más frecuentemente,” nos dice Paller.
Lo más destacable, según Paller, es que la mayor cantidad de bugs no se encontró en sistemas operativos, sino bases de datos, productos de seguridad y de almacenamiento. Esta tendencias se detectó hace un año y medio y se está acelerando. Los escritores de virus solían atacar sólo al sistema operativo, pero ahora atacan más arriba.
En la lista del informe de SANS figuran productos de empresas como Microsoft, Symantec, Computer Associates e Itunes. Un vocero de SANS destacó que si esas vulnerabilidades no se corrigen en una empresa, ésta enfrenta amenazas de ataques remotos por parte de hackers que pueden tomar control de sus computadoras y robar identidades, realizar espionaje industrial o distribuir spam.
El informe contiene vulnerabilidades muy difundidas, muchas de las cuales están siendo explotadas en hogares y oficinas. La lista representa una bandera roja para usuarios independientes y empresas por igual. Gran parte del mundo usuario cree, equivocadamente, que sus computadoras están protegidas aunque no sea así.
A Paller le preocupa la cantidad de vulnerabilidades encontradas en los propios productos de seguridad. “Deberían ser mejores. El problema del riesgo en una aplicación de seguridad es que cuando un ataque se adueña de una computadora que la utiliza, también se adueña de los derechos que tiene esa aplicación de seguridad. Generalmente, las aplicaciones de seguridad tienen derechos muy elevados. Si se utiliza un antivirus para copar una computadora, el atacante tiene más poder que si lo hace a través de un procesador de textos,” resume Paller.
Vea el informe en http://www.sans.org/top20