sábado, 27 de septiembre de 2014

De hito en hito

Cuando acabe el año y hagamos recuento de todas las incidencias en materia de Seguridad en el año 2014, seguramente tengamos la percepción de que las situaciones más graves han superado los pronósticos que se hicieron en diciembre de 2013. Por el momento, la vulnerabilidad 'Shellshock' que ha sacudido violentamente al sector esta semana tiene todas las trazas de convertirse en el asunto más importante del año.

Miremos a donde miremos, prácticamente no se habla de otro asunto, y en todos los casos con un denominador común: son bienvenidos todos los parches que se han liberado en estos días, pero cuidado con confiarse, porque no son suficientes. El agujero de seguridad está ahí, vivo, utilizado por cibercriminales que ya le han sacado provecho, y que no van a dejar escapar una oportunidad tan apetitosa para sacar su correspondiente tajada.

Entre las actividades que se derivan de la explotación de esta vulnerabilidad en la gestión de variables de Bash, capaz de saltarse cualquier barrera conocida hasta la fecha, la más relevante por llamativa es la capacidad de crear redes de equipos zombies (botnets), con el añadido de que en esta ocasión esos equipos son servidores que a su vez tratan de conectarse a otros servidores para seguir expandiendo el daño.

Algunos expertos consideran que las soluciones aportadas estos días suponen un ingente esfuerzo para parchear el agujero, pero también son como tratar de cazar a un topo cubriendo los agujeros que crea en superficie: el topo sigue vivo y haciendo de las suyas, por más que echemos tierra allí donde lo hemos visto por última vez. Solucionamos los síntomas, pero no atajamos el problema de raíz.

Las crisis de seguridad como esta que nos ocupa sirven, al menos, para aprender y actuar con mayor celeridad en la próxima gran crisis; que la habrá, nos pongamos como nos pongamos. De ahí que las soluciones, aunque incompletas, hayan llegado y estén llegando con tanta rapidez: el caso Heartbleed dejó muchas enseñanzas, así que también este Shellshock debería servir para aprender de cara al futuro. Por ejemplo, cómo hacer pública una vulnerabilidad para que las principales firmas de seguridad reaccionen, sin que los cibercriminales tengan también conocimiento de la noticia y se pongan manos a la obra. ¿Es posible informar... sin informar?, esa es la cuestión que se plantea, entre otros, Roel Schouwenberg, de Kaspersky Labs.

En todo caso, siempre es bueno estar "al tanto de la calle" de los principales asuntos que conciernen a nuestros riesgos. Esa es la misión que nos proponemos a diario, en este blog y en nuestras redes sociales, cuyos enlaces puedes ver, como siempre, en la barra lateral.

0 comentarios:

Publicar un comentario