Eso es suficiente en la industria de la seguridad de la información es drama. Las últimas herramientas de hackeo, fallas grandiosas en los sistemas de protección de software y hardware, o la ausencia total de estos mismos sistemas. La rutina diaria de spam con complementos maliciosos y phishing, criptógrafos y otras tonterías: estos no son tan interesantes como los ciberataques más complejos, pero deben abordarse con mayor frecuencia.
Descubrir que la contraseña no coincide con su enrutador se trata de cómo detectar una cerradura rota en la puerta principal. Y, sin embargo, aunque las amenazas cibernéticas deben tomarse en serio, el verdadero trabajo de seguridad comienza en el momento en que todos dejaron de saludar y decir palabras no imprimibles y se pusieron manos a la obra. Actualizamos el enrutador, realizamos una capacitación sobre phishing con empleados y establecimos protección contra criptógrafos. Incluso en el momento en que todo es malo con IS, tiene sentido imaginar cómo debería ser bueno, y no apresurarse a avanzar hacia un futuro hermoso. Hoy es un buen resumen de noticias: Google corrigió la seguridad de Android, Cisco arregló Webex, Wordpress corrigió Wordpress.
Comencemos con las
noticias directas: según
The Verge , Google ha complementado las obligaciones contractuales de los fabricantes de teléfonos inteligentes basados en el sistema operativo Android con un párrafo separado sobre seguridad. A partir del 31 de enero de 2019, todos los teléfonos nuevos vendidos por más de cien mil copias deben recibir regularmente parches de seguridad durante dos años después del lanzamiento. En consecuencia, los fabricantes de teléfonos más o menos populares deberán preparar y distribuir estos parches.
La práctica de entregar parches para cubrir problemas de seguridad se
introdujo en 2015, primero para los propios teléfonos de Google, y luego otros fabricantes se detuvieron. Hace tres años, Google comenzó a alejarse del esquema tradicional para preparar actualizaciones para teléfonos inteligentes, cuando se le dio prioridad a las nuevas funciones, y los agujeros de seguridad fueron parcheados "como afortunados". Project Treble se
introdujo en Android 8.0 Oreo para mejorar la situación con la fragmentación de la base de código. Si antes de esto los vendedores no tenían prisa por lanzar parches, temiendo conflictos con su propio código, ahora la funcionalidad y la seguridad finalmente estaban separadas (o algo así). Cerrar las vulnerabilidades se ha vuelto más fácil.
No todos han aprovechado estos beneficios. En primer lugar, los dispositivos activos basados en la octava versión (o superior) de Android siguen siendo minoría. En segundo lugar, no todos los proveedores envían regularmente parches de seguridad mensuales, como
descubrió Security Research Labs en abril. Ha llegado el momento de la acción organizativa. Por supuesto, la forma ideal de aumentar la seguridad es desarrollar una tecnología para que funcione más o menos por sí sola. Pero esto no siempre funciona, por lo que ahora los proveedores deberán soportar el dispositivo durante al menos dos años. Otra buena noticia sobre Android: la lucha contra las aplicaciones maliciosas en Google Play continúa. Se eliminaron casi
tres docenas de aplicaciones de la tienda oficial de Google con una funcionalidad relativamente útil y una función adicional en forma de intercepción de SMS.
Más buenas noticias. Cisco ha
corregido un error peligroso en el sistema de teleconferencia Webex. Webex generalmente requiere la instalación del software del cliente, que intercepta las solicitudes del navegador y garantiza la transferencia a la computadora del usuario de la transmisión de video, el contenido del altavoz de escritorio y más. El cliente trabaja constantemente, incluso cuando no está utilizando llamadas de conferencia, y se ha
descubierto repetidamente que puede agregar un par de vectores de ataque adicionales al sistema. En septiembre, se descubrió y cerró una vulnerabilidad en la que se utilizó el proceso WebExService.exe para aumentar los privilegios (si ya había acceso al sistema como usuario habitual). Y la semana pasada, un investigador conocido como SkullSecurity encontró un error similar. Estudió cómo WebExService inicia el proceso de actualización del cliente y pudo redirigir esta funcionalidad para iniciar cualquier proceso con privilegios del sistema, e incluso con la posibilidad teórica de operación remota. Recomiendo leer el
estudio original, describe en detalle el proceso de
elegir el código usando IDA Pro, lleno de lágrimas y decepciones, pero con el exitoso lanzamiento de la calculadora al final.
Finalmente, buenas noticias sobre Wordpress: el 96% de los sitios en este motor
usan una versión moderna de software. La semana pasada,
miramos las estadísticas de la versión de Wordpress y llegamos a conclusiones similares. O no vino. El 96% de los sitios de Wordpress en realidad usan la versión 4.x, pero la versión más reciente 4.9 usa un poco más del 70%, y esta versión, por un minuto, ya tiene un año. En la conferencia DerbyCon, los desarrolladores de Wordpress aparentemente decidieron centrarse también en lo positivo y contaron cómo lograron este (en cualquier caso) muy buen indicador. El sistema de actualización automática del motor (que no funciona normalmente en todas las implementaciones, ayudó, depende del usuario administrador), y las notificaciones de seguridad en Google Search Console y la calificación de
Tide .
Tide es un conjunto de pruebas automatizadas que evalúan la seguridad de un complemento. Se supone que la calificación de Tide finalmente se mostrará junto a la calificación de usuario del complemento (como en la captura de pantalla), lo que motiva a los desarrolladores a
codificar de manera más confiable . Hasta ahora, la calificación no se ha demostrado, el sistema está en desarrollo y, a juzgar por las notas en el sitio web del proyecto, la versión 1.0 está pendiente. Las pruebas automatizadas, por definición, no pueden encontrar todas las vulnerabilidades, pero esa no es su tarea. Evaluar rápidamente su código para detectar problemas de seguridad bien conocidos ya es un buen lugar para comenzar. Además, los casos reales de pirateo de sitios en Wordpress ocurren con mayor frecuencia precisamente a través de extensiones vulnerables. Además, Wordpress ahora alertará a los usuarios si su sitio usa
una versión
ya no compatible del lenguaje PHP 5.6. Característica útil para clientes de empresas que ofrecen "Wordpress listo para usar". Y tópico:
según W3Techs, en el momento de la publicación, la quinta versión de PHP era utilizada por más del 60% de los sitios.
Bueno para todos!
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.