viernes, 15 de diciembre de 2017

Cuando el código fuente de tu aplicación no es seguro


Es de reconocida importancia la necesidad de mantener los sistemas de información actualizados para prevenir la mayoría de ataques cibernéticos. La actualización y la instalación de los últimos parches de software es un tema constante de este blog. Como en el caso de Apple que describí hace unos dias.

Si una organización tiene un ciclo de actualización corto, por ejemplo no tardar mas de 48 horas en instalar un parche de software crítico luego de su publicación, la práctica prevendrá muchos de los ataques que “mojan prensa”.

¿Pero que decisión debe tomar la dirección de informática si es sabido que el software que se utiliza es vulnerable pero la vulnerabilidad específica es desconocida? Esta es la situación que enfrentan los usuarios de ArcSight, el reconocido software de administración de eventos e información de seguridad (SIEM por sus siglas en inglés). De acuerdo a Reuters, Arcsight que hasta hace poco era parte de HP (o Hewlett-Packard) permitió al gobierno ruso la inspección del código fuente de este programa con el fin de lograr ventas en ese pais. Esa inspección puede permitir al gobierno ruso descubrir vulnerabilidades que serían de otra manera desconocidas.

Para entender la gravedad de esta situación primero hay que conocer la criticidad de un sistema SIEM. Estos sistemas permite correlacionar eventos –también conocidos como logs- en una red en un momento dado. El tipo de eventos puede incluir ingresos a la red (el común “logearse”), notificaciones del software antivirus, cambio de configuración de usuarios, etc. El número de eventos en una red empresarial mediana puede alcanzar miles de millones en un mes.

El éxito de un equipo de ciberseguridad de una organización depende de la rápida detección de eventos anomálos como intentos de acceso fallidos, y encontrar tales eventos en la miriada de eventos que se generan en una red es como encontrar una aguja en un pajar.  Una vez el sistema SIEM correlaciona un evento anomálo, el analista de seguridad puede identificar una actividad maliciosa y tomar medidas de defensa necesarias como generar alertas, bloquear usuarios o desconectar un computador contaminado. Por lo tanto, si el sistema SIEM tiene fallas de seguridad un hacker puede tomar ventaja de estas vulnerabilidades y pasar desapercibidio.

Dado que es ampliamente reconocido el apoyo del gobierno ruso a grupos cuyas operaciones en Internet son bien dudosas, no es sorprendente el nivel de alarma en los expertos de ciberseguridad especialmente cuando organizaciones de defensa y militares norteamericanas como el pentágono y el ejército de Estados Unidos son usuarios de Arcsight.

Alguien puede argumentar que esa no debe ser una preocupación para entes latinoaméricanos. Y en la mayoría de los casos el argumento es válido. Entidades bancarias, del mercado minorista y grandes superficies posiblemente no ven a grupos de hackers de origen ruso como un adversario de importancia.

Sin embargo, el riesgo para organizaciones de defensa latinoamericanas puede ser bien diferente. Aquellos países de la zona que tienen relaciones poco cordiales o tirantes con países donde el gobierno ruso tiene cierta influencia deberían tener presente este caso.