Agujero de seguridad

Solo disponible en BuenasTareas
  • Páginas : 5 (1232 palabras )
  • Descarga(s) : 0
  • Publicado : 26 de marzo de 2011
Leer documento completo
Vista previa del texto
Agujero de seguridad
Un agujero de seguridad es un fallo en un programa que permite mediante su explotación violar la seguridad de un sistema informático.
Esto también se ha comenzado a aplicar a los servicios web, tales como páginas web, correo, IRC, MSN, chat, etc, con el objetivo de obtener información de personas que usen el servidor. A las personas que buscan errores en los sitios webs seles llama hackers.
Causas
Los agujeros de seguridad suelen generarse en la negligencia o la inexperiencia de un programador. Puede haber otras causas ligadas al contexto. Una vulnerabilidad por lo general permite que el atacante pueda engañar a la aplicación, por ejemplo, esquivando los controles de acceso o ejecutando comandos en el sistema donde se aloja la aplicación.
Algunasvulnerabilidades se producen cuando la entrada de un usuario no es controlada, permitiendo la ejecución de comandos o solicitudes SQL (conocidos como Inyección SQL). Otras provienen de errores de un programador en la comprobación de los buffers de datos (que puede ser desbordados), provocando una corrupción de la pila de memoria (y, por tanto, permitiendo la ejecución de código suministrado por el atacante).Publicación de una vulnerabilidad
Método de publicación
El método de publicación de la vulnerabilidad es un tema muy debatido en la comunidad de la seguridad de los sistemas de información. Algunos afirman que es necesario publicar de inmediato toda la información acerca de una vulnerabilidad cuando se descubre, (full disclosure). Otros sostienen que es preferible limitar la primera publicación alos usuarios que sólo tienen una necesidad importante y, a continuación, tomarse un cierto tiempo para la publicación en detalle, si hay necesidad.
Este retraso permite dar tiempo a los desarrolladores para corregir la vulnerabilidad de la aplicación y la aplicación de los parches de seguridad necesarios, pero también puede aumentar los riesgos para los que no tienen esta información.
Fecha yfuente de la publicación
La fecha de publicación es la primera fecha en la que la vulnerabilidad se describe en los medios, donde la información revelada tiene las siguientes condiciones:
* La información está disponible libre y públicamente.
* La información sobre la vulnerabilidad es publicada por una fuente independiente y de confianza
* La vulnerabilidad ha sido analizada porexpertos, incluida la estimación de los riesgos de la revelación.
Desde el punto de vista de la seguridad, sólo una publicación de acceso libre y completa puede asegurar que todas las partes interesadas reciben la información adecuada. La seguridad por oscuridad es un concepto que nunca ha funcionado.
La fuente de la publicación debe ser independiente de un editor, de un vendedor o de un gobierno.Debe ser imparcial para permitir una difusión de la información justa y crítica. Un medio de comunicación se considera como de confianza cuando se trata de una fuente de los sistemas de seguridad de información ampliamente aceptada en la industria (por ejemplo, CERT, Securityfocus, Secunia).
El análisis y la estimación del riesgo debe garantizar la calidad de la información divulgada. Un solo debatede un posible agujero en una lista de difusión o una vaga información de un vendedor, no permiten calificar una vulnerabilidad. El análisis debe incluir suficientes detalles para permitir a un usuario determinar su propio riesgo individual o para permitirle tomar medidas inmediatas para protegerse.
Referencia
Cuando una vulnerabilidad ha sido publicada, el MITER le atribuye una identificadorCVE . Este identificador permite realizar búsquedas cruzadas entre las diversas fuentes de información.
Identificación y corrección de vulnerabilidades
Hay muchas herramientas que pueden facilitar el descubrimiento de vulnerabilidades en sistemas informáticos, algunas permiten su supresión. Pero, si bien estas herramientas pueden proporcionar a un auditor una buena visión general de este tipo de...
tracking img