¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Vulnerables

Уязвимые

Otras ediciones de este tema (40)
  • añadir a favoritos
    Añadir a marcadores

Actualizaciones y correcciones de vulnerabilidades

Consultas: 946 Comentarios: 2 Ranking: 9

viernes, 2 de febrero de 2018

La búsqueda de vulnerabilidades es un negocio. Los buscadores de las mismas lo hacen para sacar beneficio y no hay nada altruista en todo eso.

Cuanto más software y cosas inteligentes nos regala el progreso, más vulnerabilidades y vulnerables habrá, lo cual significa que habrá más dinero circulando en este mercado. Nada personal, solo negocios.

Los expertos en seguridad — tanto las empresas legales como los malintencionados— se dedican a HACKEO profesional, así ganan dinero. Pero tienen varios objetivos. O por lo menos, eso parecía hasta hace poco.

Algunos investigadores de vulnerabilidades colaboran con las empresas que los contratan legalmente, y cobran su dinero según el contrato. Es decir, la búsqueda de vulnerabilidades empieza en cuanto el cliente y el contratado formalizan legalmente su relación de negocios.

Algunos buscan vulnerabilidades por su propia iniciativa y luego lo comunican a los productores. Con mucha frecuencia, los mismos se niegan a pagar por esta información u ofrecen muy poco dinero, por lo cual el investigador considera mucho más rentable vender los datos en el mercado negro de hackers. Y si las vulnerabilidades se encontraban muchas veces, y el productor se negaba a pagar cada vez, ¿se puede vengarse?

En la época moderna aparecen los métodos nuevos no tradicionales de ganar dinero mediante el hackeo profesional.

La cita más abajo confirma que no solo los ciberdelincuenes pueden sacar beneficio al vender la información sobre las vulnerabilidades en el mercado negro o a terceros interesados (y no al productor).

Un grupo de hackers que trabajaron en el startup MedSec, encontró un modo de hackear los cardioestimuladores y desfibriladores fabricados por un productor importante estadounidense de equipos médicos St. Jude Medical. Pero en vez de informar a la empresa sobre las vulnerabilidades en sus productos, los hackers contactaron a Carson Block, director de la empresa de inversiones Muddy Waters Capital, y le ofrecieron difundir la información confirmada diciendo que los dispositivos St. Jude Medical son peligrosos para pacientes. Según los hackers, al mismo tiempo Block tenía que comprometerse de transacciones urgentes en caso de operaciones de bajistas. Cuando la difusión de la información comprometedora afectará el renombre St. Jude Medical y sus acciones bajarán, Block podrá ganar dinero. El beneficio de hackers será mayor si las acciones bajan más.

Un efecto extra podía ser una cancelación de una transacción de adquisición de St. Jude Medical por una corporación química farmacéutica Abbott Laboratories. En la entrevista a Bloomberg Carson Block declaró que además de su posición de bajista, en relación a St. Jude Medical también tiene posición de alcista en relación a Abbott Laboratories. Lo hace para protegerse en cualquier caso.

Pero el Director General de MedSec, Justine Bone, confirmó que no le dará tiempo a St. Jude Medical para resolver problemas porque esta empresa solía no prestar atención a avisos similares. Demás, es probable que la empresa persiga a hackers para que los mismos callen. Según Bone, MedSec consultó a Muddy Waters porque la misma ya tiene experiencia de exigir la responsabilidad de empresas importantes.

MedSec infringe a propósito los principios básicos de la investigación de seguridad ética y lo hace en un ámbito donde juega con la vida humana.

http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah

Vemos los siguientes problemas éticos en toda esta historia:

  • ¿Un hacker no debe informar a nadie sobre una vulnerabilidad crítica encontrada? ¿Y si tiene un contrato con el productor del dispositivo? ¿Y si el productor se niega a corregir la vulnerabilidad?
  • ¿Será que solo el productor puede valorar la posibilidad y la necesidad de corregir vulnerabilidades (así mismo, en los dispositivos ya producidos)? Pero en la mayoría de los casos, hasta si el productor corrige la vulnerabilidad en los dispositivos ya producidos, es muy probable que ningún usuario instalará actualizaciones. Imagina que Vd. lleva usando un cardioestimulador desde hace mucho, y de repente le ofrecen actualizar el firmware. ¿Está seguro de no tener problemas luego? Y para muchos dispositivos las actualizaciones no están previstas.
#vulnerabilidad #hacker

El mundo de antivirus recomienda

Las vulnerabilidades existen en todas partes. Hasta donde no es posible instalar los medios de protección, o un antivirus. Normalmente la mayor parte del hardware similar funciona sin comunicación con el desarrollador que no puede supervisar la seguridad de dispositivos vendidos en tiempo real y corregir los sistemas de seguridad —lanzar las actualizaciones que corrigen las vulnerabilidades. El riesgo de usar este equipo lo corren los usuarios. Lo cual quiere decir que tanto los productores como los usuarios están interesados en no mencionara nada de estas vulnerabilidades, hasta en perjuicio de seguridad de usuarios. En otras palabras, todos menos hackers están interesados en eso.

MedSec fue fundada en 2015 por Robert Bryan, un ex manager de cartera de la consultoría de inversiones Metaval Capital, que también colaboraba en este ámbito con las empresas Cyrus Capital y Goldman Sachs. MedSec está en Miami y ofrece servicios de pruebas y seguridad de equipamiento médico. Buscar bugs en este equipamiento nunca suponía ningún beneficio porque los resultados ni siquiera pueden ser vendidos a los desarrolladores de antivirus.

http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah

Pero la culpa, por supuesto, es de antivirus. ¿De quién más puede ser?

  • Al comprar un dispositivo, asegúrese de el mismo que dispone de la función de actualización.
  • Estudie el procedimiento de actualización y asegúrese de entenderlo bien, no siempre es cómodo hacerlo luego.
  • Instale las actualizaciones ya lanzadas antes de empezar a usar el dispositivo.
  • Averigua el teléfono y la dirección del soporte técnico. En caso de una emergencia a veces cada segundo es importante.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios