sábado, 25 de junio de 2016

Cómo explotar una vulnerabilidad informática

 ¿Cómo un hacker explota una debilidad informática? Leemos en las noticias: "explotaron" una "debilidad" y lograron entrar sin permiso a un sistema. Listemos los tipos de huecos comunes de sistemas informáticos: 

  1. Configuraciones inseguras. 
  1. Obsolescencia de mecanismos de seguridad. 
  1. Vulnerabilidades en software. 

1.- Configuraciones inseguras. El personal de TI configura los sistemas. Por ejemplo, cuando la computadora nos pide ingresar una contraseña o nos obliga a tener más de 10 caracteres, es porque la gente de sistemas así lo configuró. 

¿Podemos  por ejemplo configurar en nuestro móvil una contraseña de acceso? Sí, y es deseable porque si lo perdemos, alguien más no podrá usarlo. Imaginemosconfiguramos la contraseña de un solo número. Cuando lo extraviamos, el atacante ingresará un 1, luego 2 y así hasta el 9. Un número de esos nueve lo desbloquearáDesgraciadamente ya logramos configurar con inseguridadLo mismo sucede al hacerlo con los sistemas y pueden quedar inseguros.  

¿Un atacante es feliz de encontrar una deficiente configuración? Sí, y lo será más sabiendo de la existencia de sistemas y software configurados por default, el cual no tiene garantía de ser seguro (aunque venga "de fábrica") como lo demuestran numerosos casos. Los "defaults" persiguen que un sistema opere y funcione de manera fácil; la seguridad es secundaria. 

2.- Obsolescencia Las puertas de los autos tenían una seguridad basada en una llave con cerradura hace 30 años y en su tiempo proveía protección. Pero los ladrones ya saben cómo abrirlas y los autos modernos usan nuevas tecnologías para impedir el robo de la unidad. La cerradura ochentera es obsoleta. Lo mismo sucede con varios mecanismos de seguridad informática de hace 30 años: no resisten ataques modernos que usan novedosas técnicas. 

Quedan indefensos ante poderosos ataques, rompiendo la antigua seguridad. 
¿Vemos circular autos de hace 30 años con la misma seguridad de antaño? Desde luego e Igual hay sistemas de hace 3 o más años operando aún con mecanismos del pasado. Recordemos: en tecnologías de información, "el pasado" fue hace algunos meses. 

Un sistema obsoleto es resultado de varias causas:  
  • Si funciona, para qué actualizarlo 
  • Cuesta tener uno moderno.  
  • Ignoramos que un sistema viejo es inseguro por los mecanismos de seguridad empleados. 
  • Negligencia porque "hay cosas más importantes en la lista de pendientes" y "luego lo haremos". 

3.- Vulnerabilidades en software. Un programa son instrucciones seguidas por un sistema. Word es software, también PowerPoint o un navegador de internet. Un atacante encuentra un hueco de seguridad cuando las instrucciones están mal planteadas o incompletas, logrando una acción imprevista. Por ejemplo, imaginen estas instrucciones para beber: 

  1. Toma el vaso 
  1. Llévalo a tu boca. 
  1. Ingiere el contenido del vaso. 

El atacante vierte un laxante en el vaso, si la intención era beber agua, entonces ya logró lo imprevisto: la víctima irá al sanitario en los próximos minutos. También el atacante puede dar múltiples vasos con agua. 

La víctima beberá uno tras otro porque las instrucciones así lo dicen, causando malestar estomacalSi el vaso contiene un sólido (pollo), la víctima deberá "beberlo". ¿Qué pasa si está vacío? Tal vez tenga veneno. ¿Y si es un vaso con agua recién hervida? 

El programador de software pensó en estas 3 simples indicaciones "claras" para beber agua de un vaso. Simple. Pero el atacante logró encontrar deficiencias en las instrucciones. Esos "huecos" fueron aprovechados para crear situaciones imprevistas no deseadas con consecuencias nefastas. 

¿Queda claro el ejemplo? Los desarrolladores de software programan código (instrucciones para el sistema)a veces las instrucciones deben enfrentar pruebas no pensadas ideadas por atacantes para hacer dañoCuando la víctima beba veneno, ella morirá: el hacker encontró un hueco de seguridad en las instrucciones permitiendo "matar" al sistema, o al menos obligarlo a hacer una actividad maliciosa. 

Este artículo pretende acercarnos a estos términos para incrementar nuestra capacidad de entender la información publicada en diversos medios de comunicación. Aprovechémosla y leamos con nuevos ojos el próximo artículo de "esos de sistemas".