Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/07/2012
INTECO-CERT publica l'informe "Software Exploitation"
Este informe pretén ajudar responsables de seguretat a prendre en consideració mesures preventives amb què evitar i mitigar gran varietat d’atacs relacionats amb l’explotació de software.
La incorrecta validació de dades d’entrada, així com la falta de control sobre la grandària de les variables continuen sent un dels majors problemes, que des de fa temps, són els causants directes de molts problemes de seguretat crítics. Segons detallen els informes de vulnerabilitats d’INTECO-CERT, durant el primer i segon trimestres de 2011, d’un total de 4.160 vulnerabilitats (2.037 del primer semestre i 2.123 del segon), aquelles classificades com a “error de buffer” són les més destacades. A pesar de ser un tipus de vulnerabilitat ben coneguda des dels anys 80, este tipus d’error continua sent encara un dels motius pel que molts sistemes són compromesos.
Encara que l’evolució dels sistemes operatius i compiladors han incorporat noves mesures de seguretat dirigides a previndre i mitigar multitud d’atacs d’este tipus, s’ha demostrat que l’eficiència de les dites mesures per separat és ineficient i que, únicament en el seu conjunt, serviran com a barrera per a frenar gran varietat d’atacs que s’aprofiten del programari vulnerable.
Creure que DEP, SEHOP o ASLR poden ser suficients per a mitigar la major part dels atacs és com pensar que un tallafoc és suficient per a protegir les màquines de la nostra DMZ. El concepte deep security usat en el món de la gestió de xarxes per a protegir els equips d’una organització ha de ser aplicat de la mateixa manera en el món del programari. Així, si per a protegir un servidor web, caldria emprar tallafocs, encaminadors, IDS/IPS, WAFs, etc., per a protegir correctament el programari cal utilitzar procediments rigorosos de programació, afegir mitigacions en la fase de compilació i aprofitar-se de les mesures de seguretat del sistema en què s’hi implantarà. Com menys anelles s’utilitzen per a construir la cadena de seguretat més gran serà la probabilitat que el nostre software siga vulnerable i, per tant, que els nostres sistemes siguen compromesos.
Per este motiu i a fi de conscienciar programadors i desenrotlladors de programari, INTECO-CERT ha preparat esta guia titulada “Software Exploitation” amb la qual pretén informar sobre els mètodes utilitzats per a comprometre sistemes aprofitant-se de vulnerabilitats de tipus buffer-overflow, off-by-one, use-after-free, format strings, etc. així com contramesures existents hui en dia, tant en els sistemes operatius actuals com en certs compiladors, per a ajudar a mitigar (o reduir en major grau) este tipus de vulnerabilitats.
D’altra banda, ja que les entrades en el programari (inputs) representen un dels punts més crítics i que més problemes de seguretat o inestabilitat solen produir en els sistemes, es donarà una gran importància a les ferramentes de fuzzing, així com les d’anàlisi de codi estàtic/dinàmic.
L’informe es troba disponible en l’adreça web següent: