En este evento interno anual, todos los empleados se dedican a buscar fallas de seguridad en aplicaciones y sistemas durante dos semanas
Core Security Technologies, proveedor de CORE IMPACT -el producto más
exhaustivo para evaluar la seguridad a nivel corporativo-, inició la quinta edición de Bugweek, su evento interno anual donde toda la compañía se dedica a detectar vulnerabilidades en aplicaciones y sistemas.
Durante quince días y hasta el 14 de diciembre, las casi 100 personas que trabajan en la sede local se dedican a detectar fallas de seguridad en aplicaciones de software. Los empleados, tanto técnicos como administrativos y de recursos humanos, son divididos en dos grupos, que trabajan en una de las dos semanas. A su vez, cada uno, es dividido en equipos de cinco a seis personas.
El objetivo principal de esta iniciativa, más allá de constituir una marca diferencial de la compañía, es advertir a los usuarios sobre las vulnerabilidades que afectan a diversas aplicaciones y sistemas. Adicionalmente, esta actividad refuerza el sentido de pertenencia de los empleados de Core Security, ya que todos los aportes son tomados en cuenta.
“El core business de nuestra compañía es la seguridad informática, tanto desarrollar nuestro producto para realizar tests de intrusión, como consultoría e investigación“, afirmó Alejandro Locicero, Vicepresidente de Consultoría, Investigación y Operaciones. “Los sistemas son cada vez más complejos y, además, es necesario protegerlos contra una mayor cantidad de ataques. En este sentido, esta iniciativa es extremadamente desafiante y una excelente oportunidad para que nuestro personal supere sus propios límites en la búsqueda de agujeros en la seguridad”.
Las vulnerabilidades en la mira de todos
Las vulnerabilidades son cuestiones que se obviaron en el diseño o implementación del software, que permiten ampliar o reducir la funcionalidad del sistema. Hay diferentes métodos para descubrirlas, que van desde la auditoría del diseño y código (buscando patrones comunes vulnerables, transpolando una nueva vulnerabilidad desde otra aplicación), hasta la inspiración (con nuevas técnicas e ideas) y el azar (una pantalla azul puede ser un accidente afortunado).
Con los métodos empleados se busca obtener exploits, que son programas o técnicas para aprovechar una falla de seguridad con diversos objetivos según quien los utilice. Por un lado, se pueden destinar a la evaluación de la seguridad de una compañía, por otro, usarlos para ingresar con fines maliciosos en una empresa, por ejemplo, para extraer información crítica.
Las pruebas se realizan en servidores de la compañía, desde la computadora de cada usuario, en cada terminal y en otros equipos especialmente destinados para esta actividad, en los que se instalan aplicaciones a auditar.
El camino de la falla
Los pasos a seguir cuando se detecta una vulnerabilidad comienzan con un reporte al responsable de la aplicación, para que ésta pueda ser resuelta. Luego, el fabricante realiza pruebas para confirmar esta falla y desarrolla, si fuera necesario, el parche para subsanarla, liberándolo posteriormente al público. Por otra parte, estas vulnerabilidades se convierten en exploits, que permiten mostrar el alcance y consecuencias del agujero de seguridad.
Finalizado el Bugweek, la compañía recopila las vulnerabilidades y escribe los advisories, o advertencias de seguridad a los fabricantes.
Gracias a este evento, que se realiza desde 2000, diversas fallas de seguridad fueron detectadas, entre las que se pueden mencionar las siguientes:
Vulnerabilidad en AOL ICQ Pro 2003b (heap overflow)
Múltiples vulnerabilidades en ICQ Toolbar 1.3 para Internet Explorer
Vulnerabilidad en Asterisk PBX (truncated video frame vulnerability)
Vulnerabilidades en el cliente IAX (truncated frames vulnerabilities)
Vulnerabilidad en Microsoft Active Directory (Stack Overflow)
Vulnerabilidad en Windows NetMeeting (Directory Traversal)
Múltiples vulnerabilidades en el cliente Mirabilis ICQ Pro 2003a.
Core Security Technologies, proveedor de CORE IMPACT -el producto más
exhaustivo para evaluar la seguridad a nivel corporativo-, inició la quinta edición de Bugweek, su evento interno anual donde toda la compañía se dedica a detectar vulnerabilidades en aplicaciones y sistemas.Durante quince días y hasta el 14 de diciembre, las casi 100 personas que trabajan en la sede local se dedican a detectar fallas de seguridad en aplicaciones de software. Los empleados, tanto técnicos como administrativos y de recursos humanos, son divididos en dos grupos, que trabajan en una de las dos semanas. A su vez, cada uno, es dividido en equipos de cinco a seis personas.
El objetivo principal de esta iniciativa, más allá de constituir una marca diferencial de la compañía, es advertir a los usuarios sobre las vulnerabilidades que afectan a diversas aplicaciones y sistemas. Adicionalmente, esta actividad refuerza el sentido de pertenencia de los empleados de Core Security, ya que todos los aportes son tomados en cuenta.
“El core business de nuestra compañía es la seguridad informática, tanto desarrollar nuestro producto para realizar tests de intrusión, como consultoría e investigación“, afirmó Alejandro Locicero, Vicepresidente de Consultoría, Investigación y Operaciones. “Los sistemas son cada vez más complejos y, además, es necesario protegerlos contra una mayor cantidad de ataques. En este sentido, esta iniciativa es extremadamente desafiante y una excelente oportunidad para que nuestro personal supere sus propios límites en la búsqueda de agujeros en la seguridad”.
Las vulnerabilidades en la mira de todos
Las vulnerabilidades son cuestiones que se obviaron en el diseño o implementación del software, que permiten ampliar o reducir la funcionalidad del sistema. Hay diferentes métodos para descubrirlas, que van desde la auditoría del diseño y código (buscando patrones comunes vulnerables, transpolando una nueva vulnerabilidad desde otra aplicación), hasta la inspiración (con nuevas técnicas e ideas) y el azar (una pantalla azul puede ser un accidente afortunado).
Con los métodos empleados se busca obtener exploits, que son programas o técnicas para aprovechar una falla de seguridad con diversos objetivos según quien los utilice. Por un lado, se pueden destinar a la evaluación de la seguridad de una compañía, por otro, usarlos para ingresar con fines maliciosos en una empresa, por ejemplo, para extraer información crítica.
Las pruebas se realizan en servidores de la compañía, desde la computadora de cada usuario, en cada terminal y en otros equipos especialmente destinados para esta actividad, en los que se instalan aplicaciones a auditar.
El camino de la falla
Los pasos a seguir cuando se detecta una vulnerabilidad comienzan con un reporte al responsable de la aplicación, para que ésta pueda ser resuelta. Luego, el fabricante realiza pruebas para confirmar esta falla y desarrolla, si fuera necesario, el parche para subsanarla, liberándolo posteriormente al público. Por otra parte, estas vulnerabilidades se convierten en exploits, que permiten mostrar el alcance y consecuencias del agujero de seguridad.
Finalizado el Bugweek, la compañía recopila las vulnerabilidades y escribe los advisories, o advertencias de seguridad a los fabricantes.
Gracias a este evento, que se realiza desde 2000, diversas fallas de seguridad fueron detectadas, entre las que se pueden mencionar las siguientes:
Vulnerabilidad en AOL ICQ Pro 2003b (heap overflow)
Múltiples vulnerabilidades en ICQ Toolbar 1.3 para Internet Explorer
Vulnerabilidad en Asterisk PBX (truncated video frame vulnerability)
Vulnerabilidades en el cliente IAX (truncated frames vulnerabilities)
Vulnerabilidad en Microsoft Active Directory (Stack Overflow)
Vulnerabilidad en Windows NetMeeting (Directory Traversal)
Múltiples vulnerabilidades en el cliente Mirabilis ICQ Pro 2003a.
Acerca de Core Security Technologies
Core Security Technologies desarrolla soluciones estratégicas que ayudan a las organizaciones alrededor del mundo, preocupadas por la seguridad informática, a desarrollar y mantener un proceso proactivo para asegurar su infraestructura de IT. El producto insignia de la compañía, CORE IMPACT, es el producto más exhaustivo para realizar pruebas corporativas de cumplimiento de seguridad. IMPACT evalúa servidores, sistemas de escritorios, de usuarios y aplicaciones web identificando qué recursos están expuestos. Esto permite a las organizaciones determinar si sus inversiones actuales en seguridad están detectando y previniendo ataques.
Core Security Technologies potencia su solución de tecnología líder con servicios de consultoría en seguridad “World Class”, incluyendo tests de intrusión y auditoría de seguridad de software. Core Security Technologies tiene su centro de investigación y desarrollo en Buenos Aires, Argentina, y su oficina comercial en Boston, MA Estados Unidos.
Core Security Technologies desarrolla soluciones estratégicas que ayudan a las organizaciones alrededor del mundo, preocupadas por la seguridad informática, a desarrollar y mantener un proceso proactivo para asegurar su infraestructura de IT. El producto insignia de la compañía, CORE IMPACT, es el producto más exhaustivo para realizar pruebas corporativas de cumplimiento de seguridad. IMPACT evalúa servidores, sistemas de escritorios, de usuarios y aplicaciones web identificando qué recursos están expuestos. Esto permite a las organizaciones determinar si sus inversiones actuales en seguridad están detectando y previniendo ataques.
Core Security Technologies potencia su solución de tecnología líder con servicios de consultoría en seguridad “World Class”, incluyendo tests de intrusión y auditoría de seguridad de software. Core Security Technologies tiene su centro de investigación y desarrollo en Buenos Aires, Argentina, y su oficina comercial en Boston, MA Estados Unidos.
Para más info: (011) 5556-2673 / www.coresecurity.com
No hay comentarios.:
Publicar un comentario