Informe: Software Exploitation (Explotación de Software)

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn1

La incorrecta validación de datos de entrada, así como la falta de control sobre el tamaño de las variables siguen siendo uno de los mayores problemas, que desde hace tiempo, son los causantes directos de muchos problemas de seguridad críticos. Según detallan los Informes de vulnerabilidades de INTECO-CERT durante el primer y segundo trimestre de 2011, de un total de 4160 vulnerabilidades (2037 del primer semestre y 2123 del segundo), aquellas clasificadas como “Error de Buffer” son las más destacadas. A pesar de ser un tipo de vulnerabilidad bien conocida desde los años 80, este tipo de error sigue siendo aún uno de los motivos por lo que muchos sistemas son comprometidos.

Aunque la evolución de los sistemas operativos y compiladores han incorporado nuevas medidas de seguridad dirigidas a prevenir y mitigar multitud de ataques de este tipo, se ha demostrado que la eficiencia de dichas medidas por separado son ineficientes y que, únicamente en su conjunto, servirán como barrera para frenar gran variedad de ataques que se aprovechan del software vulnerable. Creer que DEP, SEHOP o ASLR pueden ser suficientes para mitigar la mayor parte de los ataques es como pensar que un firewall es suficiente para proteger las maquinas de nuestra DMZ. El concepto deep security empleado en el mundo del networking para proteger los equipos de una organización debe ser aplicado de igual forma en el mundo del software. Así, si para proteger un servidor web, se deberían de emplear firewalls, routers, IDS/IPS, WAFs, etc., para proteger correctamente software es necesario utilizar procedimientos rigurosos de programación, añadir mitigaciones en la fase de compilación y aprovecharse de las medidas de seguridad del sistema en el que se implantará el mismo. Cuantos menos eslabones se utilicen para construir la cadena de seguridad mayor será la probabilidad de que nuestro software sea vulnerable y, por tanto, que nuestros sistemas sean comprometidos.

Por este motivo y con objeto de concienciar a programadores y desarrolladores de software, INTECO-CERT ha preparado esta guía titulada “Software Exploitation” con la que pretende informar sobre los métodos utilizados para comprometer sistemas aprovechándose de vulnerabilidades de tipo buffer-overflow, off-by-one, use-after-free, format strings, etc. así como contramedidas existentes hoy en día tanto en los sistemas operativos actuales como en ciertos compiladores, para ayudar a mitigar (o reducir en mayor medida) este tipo de vulnerabilidades.

Por otro lado, ya que las entradas en el software (inputs) representan uno de los puntos más críticos y que más problemas de seguridad o inestabilidad suelen producir en los sistemas, se dará una gran importancia a las herramientas de fuzzing así como las de análisis de código estático/dinámico.

Descarga del informe Software Exploitation


vía INTECO

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 13 + 23 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos