in Seguridad

EXPLICADOR: La falla de seguridad que asustó a Internet

EXPLICADOR: La falla de seguridad que asustó a Internet

EXPLICADOR: La falla de seguridad que asustó a Internet

Lydia Winters muestra el «Minecraft» de Microsoft construido específicamente para HoloLens en la sesión informativa de Xbox E3 2015 antes de Electronic Entertainment Expo, el 15 de junio de 2015, en Los Ángeles. Expertos en seguridad de todo el mundo corrieron el viernes 10 de diciembre de 2021 para parchear una de las peores vulnerabilidades informáticas descubiertas en años, una falla crítica en el código de fuente abierta ampliamente utilizado en la industria y el gobierno en servicios en la nube y software empresarial. Los expertos en ciberseguridad dicen que los usuarios del juego en línea Minecraft ya lo han explotado para violar a otros usuarios al pegar un mensaje corto en un cuadro de chat. Crédito: Foto AP / Damian Dovarganes, Archivo

Los profesionales de la seguridad dicen que es una de las peores vulnerabilidades informáticas que jamás hayan visto. Empresas como Microsoft dicen que los piratas informáticos chinos e iraníes respaldados por el estado y los mineros de criptomonedas deshonestos ya se han apoderado de él.

El Departamento de Seguridad Nacional ha hecho sonar una alarma terrible, ordenando a las agencias federales que encuentren y parcheen instancias de errores con urgencia porque es muy fácil de explotar, y les ha dicho a las personas con redes públicas que instalen firewalls si no pueden estar seguros. Un pequeño fragmento de código, el software afectado a menudo indocumentado.

Alojado en una utilidad ampliamente utilizada llamada Log4j, la falla permite a los atacantes basados ​​en Internet tomar fácilmente el control de todo, desde los sistemas de control industrial hasta los servidores web y la electrónica de consumo. Simplemente identificar qué sistemas utilizan la utilidad es un desafío; a menudo está oculto bajo capas de otro software.

La principal funcionaria de defensa de ciberseguridad de EE. UU., Jen Easterly, consideró la falla «una de las más graves que he visto en toda mi carrera, si no la más grave» en una llamada el lunes con funcionarios estatales y locales y socios del sector privado. Revelado públicamente el jueves pasado, es catnip para ciberdelincuentes y espías digitales porque permite una entrada fácil y sin contraseña.

La Agencia de Seguridad de Infraestructura y Ciberseguridad, o CISA, que dirige Easterly, puso una página de recursos Martes para hacer frente a la falla que dice que está presente en cientos de millones de dispositivos. Otros países altamente informatizados se lo estaban tomando con la misma seriedad, y Alemania activó su centro nacional de crisis de TI.

Se expuso una amplia franja de industrias críticas, que incluyen energía eléctrica, agua, alimentos y bebidas, fabricación y transporte, dijo Dragos, una de las principales empresas de ciberseguridad. «Creo que no veremos un solo proveedor de software importante en el mundo, al menos en el lado industrial, sin problemas con esto», dijo Sergio Caltagirone, vicepresidente de inteligencia de amenazas de la compañía.

Eric Goldstein, quien dirige la división de seguridad cibernética de CISA, dijo que no se sabe que ninguna agencia federal se haya visto comprometida. Pero estos son los primeros días.

«Lo que tenemos aquí es una vulnerabilidad extremadamente extendida, fácil de explotar y potencialmente muy dañina que ciertamente podría ser utilizada por los adversarios para causar un daño real», dijo.

UNA PEQUEÑA PIEZA DE CÓDIGO, UN MUNDO DE PROBLEMAS

El software afectado, escrito en el lenguaje de programación Java, registra la actividad del usuario. Desarrollado y mantenido por un puñado de voluntarios bajo los auspicios de la Apache Software Foundation de código abierto, es muy popular entre los desarrolladores de software comercial. Se ejecuta en muchas plataformas (Windows, Linux, macOS de Apple)alimentando todo, desde cámaras web hasta sistemas de navegación para automóviles y dispositivos médicos, según la firma de seguridad Bitdefender.

Goldstein dijo a los reporteros en una llamada telefónica el martes por la noche que CISA actualizaría un inventario de software parcheado a medida que haya correcciones disponibles. «Esperamos que la remediación lleve algún tiempo», dijo.

Apache Software Foundation dijo que el gigante tecnológico chino Alibaba le notificó de la falla el 24 de noviembre. Se necesitaron dos semanas para desarrollar y lanzar una solución.

Más allá de los parches, los profesionales de la seguridad informática tienen un desafío aún más abrumador: tratar de detectar si la vulnerabilidad fue explotada, si una red o un dispositivo fue pirateado. Eso significará semanas de seguimiento activo. Un fin de semana frenético de tratar de identificar (y cerrar de golpe) las puertas abiertas antes de que los piratas informáticos las explotaran ahora se convierte en un maratón.

TRANQUILIDAD ANTES DE LA TORMENTA

«Mucha gente ya está bastante estresada y bastante cansada de trabajar durante el fin de semana, cuando realmente vamos a estar lidiando con esto en el futuro previsible, bastante bien en 2022», dijo Joe Slowik, líder de inteligencia de amenazas en la red. firma de seguridad Gigamon.

La firma de ciberseguridad Check Point dijo el martes que detectó más de medio millón de intentos de actores maliciosos conocidos para identificar la falla en las redes corporativas en todo el mundo. Dijo que la falla se aprovechó para instalar malware de minería de criptomonedas, que utiliza ciclos informáticos para extraer dinero digital subrepticiamente, en cinco países.

Sin embargo, hasta el momento, no se han detectado infecciones de ransomware exitosas que aprovechen la falla. Microsoft dijo en una publicación de blog que se había detectado que los delincuentes que irrumpen en redes y venden acceso a bandas de ransomware explotan la vulnerabilidad en los sistemas Windows y Linux. Dijo que los delincuentes también estaban incorporando rápidamente la vulnerabilidad en las redes de bots que acorralan múltiples computadoras zombis con fines de robo.

«Creo que lo que va a pasar es que pasarán dos semanas antes de que se vea el efecto de esto porque los piratas informáticos entraron en las organizaciones y estarán averiguando qué hacer a continuación». John Graham-Cumming, director técnico de Cloudflare, cuya infraestructura en línea protege los sitios web de las amenazas en línea.

El investigador principal Sean Gallagher de la firma de ciberseguridad Sophos dijo que estamos en la calma antes de la tormenta.

«Esperamos que los adversarios probablemente estén obteniendo el mayor acceso posible a todo lo que puedan en este momento con el fin de monetizarlo y / o capitalizarlo más adelante». Eso incluiría extraer nombres de usuario y contraseñas.

Los hackers estatales chinos e iraníes respaldados por el estado ya estaban aprovechando la vulnerabilidad para el espionaje, dijeron Microsoft y la firma de ciberseguridad Mandiant. Microsoft dijo que los piratas informáticos respaldados por el estado de Corea del Norte y Turquía también lo estaban. John Hultquist, un importante analista de Mandiant no quiso nombrar objetivos, pero dijo que los actores iraníes son «particularmente agresivos» y han participado en ataques de ransomware contra Israel principalmente con fines disruptivos.

Microsoft dijo que el mismo grupo cibernético chino que aprovechó una falla en su software Exchange Server local a principios de 2021 estaba usando Log4j para «extender su objetivo típico».

SOFTWARE: ¿INSEGURO POR DISEÑO?

El episodio de Log4j expone un problema mal abordado en el diseño de software, dicen los expertos. Demasiados programas utilizados en funciones críticas no se han desarrollado con suficiente atención a la seguridad.

No se debe culpar tanto a los desarrolladores de código abierto como los voluntarios responsables de Log4j como a toda una industria de programadores que a menudo incluyen a ciegas fragmentos de dicho código sin hacer la debida diligencia, dijo Slowik de Gigamon.

Las aplicaciones populares y hechas a medida a menudo carecen de una «Lista de materiales de software» que les permita a los usuarios saber qué hay debajo del capó, una necesidad crucial en momentos como este.

«Obviamente, esto se está convirtiendo en un problema cada vez mayor, ya que los proveedores de software en general están utilizando software disponible abiertamente», dijo Caltagirone de Dragos.

Particularmente en los sistemas industriales, agregó, los sistemas anteriormente analógicos en todo, desde los servicios públicos de agua hasta la producción de alimentos, se han actualizado en las últimas décadas digitalmente para su gestión automatizada y remota. «Y una de las formas en que lo hicieron, obviamente, fue a través de software y mediante el uso de programas que utilizaban Log4j», dijo Caltagirone.

Alemania: Defecto de ciberseguridad ‘crítico’ ya explotado

© 2021 The Associated Press. Reservados todos los derechos. Este material no puede ser publicado, difundido, reescrito o redistribuido sin permiso.

Citación: EXPLICADOR: La falla de seguridad que asustó a Internet (2021, 15 de diciembre) recuperada el 25 de diciembre de 2021 de https://techxplore.com/news/2021-12-flaw-freaked-internet.html

Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con el propósito de estudio o investigación privada, ninguna parte puede ser reproducida sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.



Fuente

antesaplicacionesAppleassasuscatconcontroldíadiciembredosempresasEntertainmentestáestefinGoldlglistalosmacmicrosoftparapodríaporproblemaspublicaciónpuedenquéseguridadsoftwareStarsusTechtransportetrasUnausuariosWallsXbox

Written by TecTop

Lo mejor de 2021: por qué funciona el momento más aterrador de Resident Evil Village

Lo mejor de 2021: por qué funciona el momento más aterrador de Resident Evil Village
La computadora personal utilizada por el cofundador de Wikipedia, Jimmy Wales, ha sido subastada

Ordenador del creador de Wikipedia y NFT subastados por casi $ 1 millón