El festín de agujeros en Symantec pone en relieve los peligros del software de seguridad.




Existen vulnerabilidades en todas las aplicaciones de software, pero en algunos casos, el software de seguridad tiene peores defectos que el promedio de aplicaciones.

Si hay una lección que aprender en la noticia de la semana pasada es que varios productos de seguridad de consumo de Symantec tenían vulnerabilidades graves, es que incluso las herramientas de seguridad tienen fallas explotables. Esto es una advertencia para los consumidores.

Travis Ormandy, del equipo Proyecto Zero de Google, dijo que las vulnerabilidades en el código de Symantec son "tan malas como no debería serlo." La mayor parte de los defectos estaban en el componente del descompresor, que analiza varios formatos de archivo, incluyendo los ficheros de archivo como .rar y .zip. Symantec descomprime archivos justo en el núcleo usando "los más altos niveles de privilegios posible", lo que significa que el malware comprimido en uno de estos archivos se ejecuta en la parte más sensible del sistema operativo. Esto podría provocar la ejecución remota de código y ser usado para crear gusanos que se ejecuten y se extiendan a través de redes locales sin interacción del usuario.

La lista de productos afectados incluye todas las versiones de Symantec Endpoint Protection, Email Security de Symantec, Symantec Protection Engine, Symantec Protection para SharePoint Server, Norton Security, Norton 360, y otros productos heredados de Norton. Symantec ha reparado los defectos, pero los administradores en las empresas deben asegurarse que los productos se hayan actualizado para recibir las correcciones. Las actualizaciones automáticas de firmas no actualizan la aplicación de software en tiempo real.

Los problemas realmente son malos, sobre todo porque esta es la segunda vez que Ormandy ha vapuleado a Symantec por sus problemas de seguridad, pero la empresa no es la única culpable. Ormandy y otros miembros del equipo del Proyecto Cero han descubierto varias vulnerabilidades graves en los productos antivirus en los últimos meses, incluyendo a Kaspersky Lab, ESET, FireEye, Trend Micro, Sophos, McAfee y Comodo.

Pero este no es el momento para que los clientes empresariales castiguen a Symantec por no detectar el código problemático o por el error en el diseño para descomprimir los archivos en el kernel en lugar de utilizar una caja de arena como una alternativa más segura. El problema es mucho más penetrante en toda la industria de la seguridad y refleja el desafío más amplio que las organizaciones deben enfrentar a la hora de escribir código seguro.

"La escritura de software seguro es difícil, pero los proveedores de sistemas operativos (como Microsoft, e incluso Apple) han hecho grandes avances en los últimos años para endurecer su código - ¿Por qué no pueden otros en la industria de la seguridad hacer lo mismo? dijo Patrick Wardle, director de investigación de SynAck.

En el caso de Symantec, los desarrolladores no han utilizado la mitigación de nivel compilador comun, como -fstack protector en Linux, dijo Wardle.

El estado del software de seguridad según un informe de V3 del proveedor de seguridad Veracode encontró que el software de seguridad fue el segundo peor en la categoría de software. Muchas aplicaciones todavía están escritas en C y C ++, lo que significa que los desarrolladores pueden cometer errores que conduzcan a vulnerabilidades más críticas como en el buffer o en desbordamientos de enteros como si estuvieran usando lenguajes como Java, C #, o JavaScript.

El software de seguridad con frecuencia se ejecuta con privilegios más altos que la media de software, ya que necesita inspeccionar los datos que van hacia y desde otras aplicaciones que requieren el acceso al sistema operativo. Las operaciones a menudo requieren un análisis complejo y detección de patrones, que por lo general resulta en un código complejo y propenso a error, dijo Chris Wysopal, CTO y co-fundador de Veracode. Como resultado, las vulnerabilidades explotables en el software de seguridad por lo general conducen a comprometer completamente el sistema.

El pecado más grande en la historia de Symantec es estar utilizando bibliotecas de terceros obsoletas que contienen vulnerabilidades conocidas y no actualizar las bibliotecas con las versiones más recientes y más seguras. Por desgracia, aunque es una buena práctica utilizar las últimas versiones de las bibliotecas de terceros, no siempre sucede así. Las bibliotecas y paquetes actualizados pueden interrumpir la funcionalidad existente o pueden depender de una funcionalidad en desuso, lo que requeriría cambios en el software. Teniendo en cuenta la naturaleza anidada para desarrollar software, donde las bibliotecas utilizan otros componentes de terceros, los desarrolladores a menudo no se dan cuenta de que están confiando en un código antiguo y vulnerable dentro de sus aplicaciones.

La compañía Open Source Security de SourceClear tiene una herramienta para ayudar a los desarrolladores a identificar qué librerías de código abierto están utilizando y qué vulnerabilidades existen para que pueda identificarse y corregir las amenazas de seguridad conocidas y emergentes. La plataforma Black Duck Software's también detecta y alerta sobre esas cuestiones en los subcomponentes de Linux cuando se utilizan para desarrollar aplicaciones y contenedores. Sin embargo, los equipos de desarrollo necesitan usar esas herramientas o tomar otras medidas para mantener las bibliotecas y paquetes al día.

El hecho de que el software viene de un proveedor de seguridad no significa automáticamente que fue escrito por un equipo de desarrolladores muy versado en la seguridad.

"Los proveedores del software de Seguridad sub contratan desarrolladores que en general no han tenido ningún entrenamiento de seguridad en la Universidad o formación laboral sobre seguridad," afirmó Wysopal.


Las empresas esperan que los productos de los grandes fabricantes y marcas conocidas sean seguros, pero las vulnerabilidades se pueden encontrar en cualquier aplicación. Basándose en cualquier aplicación o tecnología para la seguridad es un caso perdido. Los productos de seguridad del software antivirus y de punto final (endpoint) a menudo se consideran elementos muy seguros para las empresas. Si bien existe una creciente conciencia de que ellos no son suficientes, todavía hay una falta de conciencia de que el software en sí podría actuar como puerta de entrada para los atacantes.

Ahí está el aspecto de ingeniería social, donde el malware de los atacantes omiten específicamente determinados tipos de antivirus, y los usuarios bajan la guardia con el malware porque piensan que el antivirus lo ha detectado correctamente en caso de que fuera perjudicial.

Luego están las propias vulnerabilidades. Si los atacantes encuentran esas vulnerabilidades y hallan una manera de explotarlos, tendrían una enorme cantidad de víctimas donde apuntar..

Una estrategia de defensa en profundidad, donde capas adicionales de tecnologías de seguridad bloqueen las amenazas que no han podido ser detenidas por las defensas de primera línea, es esencial para cualquier empresa. Más importante aún, las organizaciones tienen que asegurarse de que debe aplicarse el mismo nivel de seguridad en todos los ámbitos. El enfoque más eficaz es tener en cuenta los riesgos, identificar dónde están los sistemas más sensibles y donde residen los datos en la red local, y hacer que se apliquen las medidas de seguridad apropiadas y seguras.

La seguridad no es un producto, sino un proceso, lo que significa que las organizaciones tienen que evaluar continuamente los riesgos y actualizar sus defensas.

Fahmida Y. Rashid


Fuente: Infoworld