English version coming soon!
En informática, una vulnerabilidad o agujero de seguridad es un fallo, normalmente de software, aunque también puede ser de software, que permite evadir los sistemas de seguridad.
Fuente de la imagen
Las vulnerabilidades se clasifican según su gravedad. Cuanto más fácil sean de explotar, mayor control concedan al atacante y mayor extendido esté el software o hardware afectado, más grave es la vulnerabilidad
-Facilidad de acceso: las vulnerabilidades más graves son las que se pueden explotar a través de Internet. Otras requieren acceso a la red local. Las más inofensivas son aquellas que requieren acceso físico al ordenador.
-Control ofrecido al atacante: Si la vulnerabilidad permite robar información o destruir archivos es muy peligrosa. Si solo permite bloquear el ordenador o forzar su apagado, el daño potencial es menor. Y si solo permite bloquear un programa específico se trata del tipo de vulnerabilidad menos peligroso.
-Software y hardware afectado: Cuanto más extendido esté ese software o hardware, mayor número de equipos podrían verse afectados. También importa la función del software o del hardware: es mucho más peligrosa una vulnerabilidad en un programa de control de procesos industriales, como el SCADA de Siemens, que una vulnerabilidad en un videojuego.
Fuente de la imagen
No existe el software ni el hardware perfecto y los desarrolladores lo saben, por ello normalmente llevan a cabo un programa de búsqueda y parcheo de vulnerabilidades durante todo el periodo de vida del producto.
Existen dos aproximaciones en cuanto a la seguridad: código fuente cerrado y código fuente abierto. El primero se basa en que solo los desarrolladores del fabricante conozcan el funcionamiento interno, dificultando a los usuarios maliciosos encontrar dichas vulnerabilidades. El segundo se basa en que cualquiera pueda revisar el funcionamiento interno, facilitando que las vulnerabilidades se descubran para poder solucionarlas. Ambas tienen sus ventajas e inconvenientes, y aunque creo que la mejor solución es la de código abierto no es objeto de este artículo compararlas.
En cualquier caso, los desarrolladores no son los único que buscan vulnerabilidades. Hay muchos informáticos que se dedican a ello, trabajando para empresas de seguridad, agencias gubernamentales, o por cuenta propia.
Las vulnerabilidades valen dinero, especialmente las más graves. El desarrollador suele ofrecer recompensas a los usuarios que les informan de las vulnerabilidades que afectan a sus productos, para poder arreglarlas antes de que alguien más las explote, causando daños a los usuarios y desprestigio al fabricante.
Pero los fabricantes no son los únicos dispuestos a pagar por esa información. Grupos criminales también ofrecen pagos a cambio, para utilizarlas en ataques con fines reivindicativos o económicos. Y las agencias de inteligencia también, pues pueden emplearlas para contraatacar frente a ciberataques o en sus operaciones de espionaje.
Las vulnerabilidades se han convertido en una de las principales armas de la ciberguerra. Y al igual que las guerras convencionales, la ciberguerra también tiene efectos colaterales para los civiles. El bug responsable de la expansión del virus Wannacry era conocido por la Agencia de Seguridad Nacional estadounidense, la NSA. El grupo de hackers Shadow Brokers logró acceder a los archivos de esta agencia y encontrar numerosas herramientas para aprovechar vulnerabilidades hasta entonces desconocidas.
Fuente de la imagen
-Vulnerabilidad DNS: 9 de julio de 2007. Descubierta una vulnerabilidad que permite cambiar la dirección IP a la que redirigen los servidores DNS al utilizar un nombre de dominio (por ejemplo steemit.com)
-Heartbleed: 1 de abril de 2014. La biblioteca OpenSSL, ampliamente utilizada en el cifrado de páginas web https, contaba con un error por el cual se podía solicitar información protegida al servidor, como las contraseñas de otros usuarios.
-Shellshock: 24 de septiembre de 2014: Descubiero un error de software que permite ejecutar comandos en Bash sin permiso en sistemas operativos Mac y Linux
-Vulnerabilidad Grub2: El 18 de diciembre de 2015 se descubre que una combinación de teclas permite saltarse la protección por contraseña de este gestor de arranque muy utilizado en Linux.
Moon Dogecoin es una faucet en la que puedes obtener DOGE cada 5 minutos. Si esperas más tiempo, se sigue acumulando DOGE pero cada vez más lentamente. Cuenta con bonus extra según los días seguidos que lleves usándola, los referidos, y un porcentaje aleatorio de bonus.
Si te interesa, por favor considera utilizar mi enlace de referido: http://moondoge.co.in/?ref=838ca074509d
Gracias por leer. En el próximo artículo hablaré sobre el virus del papiloma humano y sus vacunas.
I vote up for the spanish community (which I am not). But I would really love to read this in English too, it looks very interesting.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
English version ready : https://steemit.com/technology/@ropaga/the-black-market-of-vulnerabilities
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit