DESARROLLO

Vulnerabilidad

En seguridad informática, ¿a qué se conoce como vulnerabilidad?

En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.
Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades reales y vulnerabilidades teóricas (conocidas como exploits).
Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versión. En tanto algunas otras requieren un cambio físico en un sistema informático.
Las vulnerabilidades se descubren muy seguidas en grandes sistemas, y el hecho de que se publiquen rápidamente por todo internet (mucho antes de que exista una solución del problema), es motivo de debate. Mientras más conocida sea haga una vulnerabilidad, más probabilidades de que existan piratas informáticos que quieren aprovecharse de ellas.


Algunas vulnerabilidades típicas suelen ser:

*Desbordes de pila y otros buffers.
*Symlink races.
*Errores en la validación de entradas como: inyección SQL, bug en el formato de cadenas, etc.
*Secuencia de secciones.
*Ejecución de código remoto.
*XSS.


Parches de seguridad:

Cinco nuevos parches de seguridad de Microsoft en abril, tres de ellos críticos.

SAN FRANCISCO (EE.UU).- El último boletín de seguridad mensual de Microsoft, que corresponde a abril, corrige 5 fallos de seguridad para varios productos de la compañía. De estos, tres han sido calificados como "críticos", uno como "importante" y otro como "moderado". Entre los parches publicados se encuentra una actualización acumulativa que soluciona diez fallos en Internet Expoler.
Así, el parche MSO6-O13 soluciona diez errores en Internet Explorer. Se trata de una solución acumulativa que Microsoft aconseja aplicar "inmediatamente".
Los boletines MSO6-O14 y MSO6-015 también han sido calificados como "críticos" por Microsoft. El primero soluciona una vulnerabilidad en MDAC que podría permitir la ejecución de código remoto y afectó a varias versiones de Windows. El segundo arregla un error en el Explorador de Windows que también podría permitir la ejecución de código remoto y podría afectar a equipos como Windows 2000, XP y Server 2003.
Microsoft también a publicado un parche acumulativo para Outlook Express, calificado como "importante", y un 5º parche que corrige una vulnerabilidad en FrontPage que podría permitir la ejecución de código "script" en el contexto de los usuarios. Este último error a sido considerado "moderado".


El 90% de las veces que una nota periodísta sobre seguridad informática o hacking sale a la luz en Argentina, se lo hace por personas que no investigaron sobre el tema en cuestión.


Un claro ejemplo de esto es la noticia publicada en infoBAE, copiado textualmente:
La página de Internet Shimpinomori.net impulsó un extraño desafío: el primero que logre hackear una página Wenb que crearon, se llevará una consola play Station 3 de regalo.
Según consigna la página española 20 minutos, compraron una PlayStation 3, le instalaron el sistema operativo Linux y, a través de ella, pusieron en marcha una página web en la que anuncian que el primero capaz de "hackearla" se llevará la consola como premio.
El concurso durará hasta enero y está abierto a "hackers" de todo el mundo. Las reglas son sencillas: no apelar a trabajos de hackeo "sucio". Es decir, no recurrir a MS-DOS ni aprovecharse para realizar ataques indiscriminados a otra máquinas que no sean la PS3 objeto del concurso.
Para demostrar el "hackeo", el ganador debe sustituir la fotografía del niño con la PS3 que aparecee en la Web por otra cualquiera, además de enviar un mensaje a un foto- en cualquier idioma- dispuesto especialmente para el concurso, en el que debe anunciar su victoria.
El ganador se llevará la PlayStation 3, con todos los accesorios de serie, Linux preinstalado y el disco duro reemplazado por ino de 160 GB, además de un cable HDMI (de alta definición) y el videojuego Resistance: Fall of Man.