La Mejor Defensa es la Información


En los últimos dos meses, han estado circulando rumores sobre una vulnerabilidad sin parchear en los productos de Adobe. El pasado Jueves 19 de febrero, los colegas de Shadowserver confirmaron que hay un exploit para esta y han obtenido una muestra de ella. Pocas horas después Adobe confirmó el fallo con un advisory . McAfee, Symantec, y otras compañías no se han hecho esperar en decir que tenían muestras que se remotan a Enero y hasta Diciembre del año pasado. Symantec publicó una respuesta casi una semana ántes del advisory.

El exploit fué detectado, está siendo activamente explotado, y no lo fué hasta que los colegas de Shadowserver escribieron un resumen de la falla, que Adobe se molestó en lanzar un advisory. Con la fecha de cobertura del 12 de febrero, de Symantec, solo podemos asumir que ellos contactaron Adobe así como también les dieron acceso a la muestra que ellos tenían. La respuesta oficial de Adobe es que un para Adobe 9 estará disponible el 11 de Marzo, pero ninguna fecha ha sido anunciada para las versiones anteriores. Compare esta respuesta de MS08-078, MS08-067, ó incluso MS06-001 y podrá ver una clara diferencia en la forma como responden éstas compañías a los ataques del mundo real en contra de sus usuarios.

Todos los proveedores de seguridad, tanto los que hacen , evaluación, ó productos de detección de intrusos dependen de la información detallada de las vulnerabilidades para sus productos, crear firmas, y al final, proteger mejor sus usuarios. A pesar de cuantos recursos tengan estos proveedores, todos ellos dependen de la información publica en cierta medida. Las compañías de tienen una ventaja en términos de recopilación de datos en bruto, pero aún usan sitios web como Milw0rm y herramientas como Metasploit para asegurarse de que sus productos realmente funcionan. La hipocresía es que si bien algunos de estos proveedores comparten información con el público e incluso contribuyen en la investigación de vulnerabilidades, muchos de ellos están usando estos recursos para el ensayo de productos y al mismo tiempo abrumar en sus aviso para la prensa y sus clientes.

El caso más notable de divulgación de información es cuando el beneficio de hacer esta información sobrepasa los posibles. En este caso, como en muchos otros, los chicos malos son los que ganan. Exploits ya están siendo usados y el hecho de que el resto del mundo apenas se esté dando cuenta no significa que estas vulnerabilidades sean nuevas. En este punto, la mejor estrategia es dar a conocer, distribuir la información pertinente, y aplicar la presión sobre los proveedores para liberar un parche.

Adobe ha programado el parche para el 11 de Marzo. Si cree que Symantec les notificó el 12 de Febrero, ha pasado casi un mes entero desde la noticia de un exploit disponible hasta la respuesta del vendedor. Si el vendedor involucrado fuera Microsoft, la prensa estaría criticándoles en este preciso instante. Que parte de “sus clientes están siendo explotados” no entienden?

De nuevo, Sourcefire se enfoca en donde el vendedor falla. Hoy día, Sourcefire VRT hizo público un parche provisional para mitigar este fallo hasta que adoba produzca el parche completo. Afortunadamente, el parche de Sourcefire, junto con las nuevas firmas de IDS y AVs, servirá hasta que Adobe libere la revisión.

Esta es una adaptación al español del articulo “The Best Defense is Information realizada por Cortex


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo