Vídeo: Semana 01 | Curso Especializado de Seguridad Vial | SUTRAN | 10/05 (Setembre 2024)
La companyia suïssa infosec High-Tech Bridge va donar a conèixer la notícia de l'any passat fent vergonya a Yahoo per oferir més que una samarreta com a recompte d'errors. Aquest tipus de recerca no és el que fan cada dia els investigadors HTB. El seu objectiu principal és identificar vulnerabilitats i publicar avisos de seguretat relacionats amb les seves troballes. El grup va llançar 62 consultoris el 2013, i va observar una millora global en la resposta a la indústria.
Reparacions més ràpides
Segons un informe HTB acabat de publicar, els venedors van publicar els pegats per als problemes denunciats molt més ràpidament que el 2012. A més, "la gran majoria dels venedors van alertar els seus usuaris sobre les vulnerabilitats de manera justa i ràpida", on anteriorment molts. han parlat en silenci el problema o han reduït el risc. L’informe va cridar Mijosoft (no Microsoft) per pràctiques de seguretat pobres.
El temps mitjà de revisar les vulnerabilitats crítiques va disminuir de 17 dies el 2012 a 11 dies el 2013, una reducció impressionant. Les vulnerabilitats de risc mitjà van millorar encara més, passant de 29 dies a 13 dies. Això és un progrés, però hi ha marge per millorar. L'informe assenyala que "11 dies per combatre les vulnerabilitats crítiques encara és un retard bastant llarg".
Complexitat augmentada
Segons l’informe, cada cop és més difícil identificar i explotar vulnerabilitats crítiques per als dolents. Han de recórrer a tècniques com els atacs en cadena, on explotar una vulnerabilitat crítica només és possible després d’ haver-se incomplit amb èxit no crític.
Algunes de les vulnerabilitats es van rebaixar de baix risc o crític a mitjà risc durant el 2013. Concretament, es tracta d’explotacions que només es poden realitzar després que l’atacant sigui autenticat o registrat. L’informe assenyala que els desenvolupadors han de pensar en la seguretat fins i tot en àrees només accessible per a usuaris de confiança, ja que algunes d'aquestes parts de confiança "poden ser de fet força hostils".
Els desenvolupadors interns han de prestar més atenció a la seguretat. La injecció SQL i el script de llocs creuats són els atacs més habituals i les aplicacions internes són les víctimes més habituals d'aquests atacs, en un 40 per cent. Els connectors del sistema de gestió de contingut (CMS) són propers, amb un 30 per cent, seguits de petits CMS del 25 per cent. Les infraccions a CMS molt grans com Joomla i WordPress suposen grans novetats, però segons HTB només representen el cinc per cent del total. Moltes plataformes de blogs i CMS continuen sent vulnerables, simplement perquè els seus propietaris no els mantenen completament pegats o no la configuren correctament.
Així doncs, com podeu evitar que el vostre lloc web o CMS es vegin compromesos? L’informe conclou que cal “proves híbrides quan les proves automatitzades es combinen amb proves de seguretat manuals per part d’un humà”. No serà una sorpresa aprendre que High Tech Bridge ofereix exactament aquest tipus de proves. Però tenen raó. Per a una seguretat real, voleu que els nois bons ataquin i us mostrin el que necessiteu arreglar.
