La semana pasada, el FBI anunció que durante el último año, varios grupos de hackers de Europa Oriental habían irrumpido en -por lo menos- los websites de 40 empresas, robaron números de tarjetas de crédito, y en algunos casos sacaron dinero a sus víctimas. Las vulnerabilidades de red aprovechadas por estos delincuentes eran conocidas, y los parches que las cerraban estaban disponibles, pero ninguna de las empresas los había instalado. En Enero del 2001, el gusano Ramen se dirigió a vulnerabilidades conocidas en varias versiones de Red Hat Linux. Ninguno de los miles de sistemas infectados tenían sus parches actualizados. 

En Octubre del 2000, Microsoft fue molestada por hackers desconocidos que se pasearon tranquilamente por su red, violando la propiedad intelectual, durante semanas o meses. Según los informes, los asaltantes no habrían podido forzar la entrada si los parches de Microsoft hubieran sido actualizados. Las series de robos de tarjetas de crédito de alto-perfil en enero de 2000, incluyendo el incidente de CD Universe, fueron también consecuencia de parches no instalados. Un parche publicado dieciocho meses antes hubiera protegido a estas compañías.

¿Qué está pasando aquí? ¿Es que nadie instala ya parches de seguridad? ¿Nadie se ocupa de ello?

Lo que está pasando es simplemente que hay demasiados malditos parches. Es absolutamente imposible mantenerse al día. Recibo resúmenes semanales de nuevas vulnerabilidades y parches. Un servicio de alerta relacionaba 19 nuevos parches en una amplia variedad de productos sólo en la primera semana de marzo de 2001. Ésa era una semana normal. Algunas de las advertencias afectaban a mi red, y muchas de ellas no. Microsoft Outlook tuvo más de una docena de parches de seguridad en el año 2000. No sé cómo una persona normal puede instalarlos todos; no acabaría nunca.

Los profesionales de la Seguridad son muy rápidos a la hora de culpar a los administradores de sistema que no instalan cada parche. "Deberían haber puesto al día sus sistemas; es culpa suya cuando son hackeados." Esto está empezando a parecerse demasiado a culpar a la víctima. "Debería haber sabido que no debería haber pasado por esa calle desierta; es culpa suya que fuera atracado." "Ella nunca debería haberse vestido tan provocativamente; es culpa suya que fuera atacada." Quizás se deberían haber tomado tales precauciones, pero la auténtica culpa está en otra parte.

Quienes manejan redes de ordenadores son también personas, y las personas no siempre hacen lo más inteligente. Saben que se supone que instalan todos los parches. Pero a veces no pueden desconectar sistemas críticos. A veces no tienen disponible personal para parchear cada sistema de su red. A veces aplicar un parche fastidia alguna otra cosa en su red. Creo que ya es hora de que la industria entienda que esperar que el proceso de parcheo mejore la seguridad de la red simplemente no funciona.

La seguridad basada en los parches es inherentemente frágil. Cualquier red grande va a tener centenares de vulnerabilidades. Si hay una vulnerabilidad en su sistema, usted puede ser atacado con éxito y no hay nada que pueda hacer al respecto. Aun si usted se las arregla para instalar cada parche del que tiene conocimiento, ¿qué pasa con las vulnerabilidades que no se han parcheado todavía? (Ese mismo servicio de alerta listaba 10 nuevas vulnerabilidades para las que no hay defensa.) ¿O las vulnerabilidades descubiertas pero no publicadas todavía? ¿O las que aún no se han descubierto?

La buena seguridad es adaptativa. Se adapta a los errores y a los cambios de una red. Y se adapta a los administradores que no instalan cada parche. Durante los dos últimos años he estado defendiendo la monitorización como una forma de proporcionar esta seguridad adaptativa. Si hay bastantes sensores de movimiento, ojos eléctricos, y plataformas detectoras de presión en su casa, usted cogerá al ladrón sin tener en cuenta cómo entró. Si usted está supervisando su red cuidadosamente, cogerá a un hacker sin tener en cuenta de qué vulnerabilidad se aprovechó para lograr el acceso. La monitorización hace una red menos dependiente de mantener los parches actualizados; es un proceso que proporciona seguridad incluso ante las vulnerabilidades actuales que siempre existen, parches no instalados, y productos imperfectos.

En un mundo perfecto, los sistemas raramente necesitarían parches de seguridad. Los pocos parches que necesitaran serían descargados automáticamente, serían fáciles de instalar, y funcionarían siempre. Pero no vivimos en un mundo perfecto. Los administradores de red son gente ocupada, y las redes están cambiando constantemente. 

La monitorización vigilante no "resuelve" la seguridad informática, pero es una manera mucho más realista de proporcionar seguridad adaptativa.

Fuente: http://www.kriptopolis.com/criptograma/cg.html 

Si por cualquier motivo no debes, no puedes, no quieres o no sabes utilizar tu cliente de correo electrónico o tu correo electrónico vía web, con cualquiera de los dos formularios que hay en la página contactar, puedes ponerte en contacto conmigo. Si lo que deseas es formular cualquier tipo de pregunta sobre seguridad informática, te recuerdo que existe una lista de correo específicamente para ello. !Suscríbete!