News

¿Qué está pensando Google?

La semana pasada hice algo que parecía imposible: tomé unas vacaciones de una semana y no visité Internet durante todo ese tiempo. Así que ahora me estuve poniendo al día. La semana pasada ocurrieron muchas cosas importantes: el constante ataque de gusanos en Facebook, la nueva vulnerabilidad de Adobe, y el descubrimiento de la puerta trasera del servidor IRC Unreal.

Sin embargo, hay algo más importante que todo aquello: el hecho de que Google haya divulgado los detalles completos sobre la vulnerabilidad de Microsoft Windows Help and Support Center, presente en Windows XP y Windows 2003: CVE 2010-1885. Es la segunda vulnerabilidad que publica un empleado de Google en un lapso de sólo dos meses. ¿No creen que comienza a sonar como una estrategia? Analicemos la situación: en primer lugar, el empleado de Google dijo que había divulgado los datos de la vulnerabilidad por decisión propia. Puede que sea cierto, pero hay un par de cosas que se deben tomar en cuenta.

El empleado agradece en la publicación a varios colegas de Google. Eso da a entender que algún director sabía que se estaba investigando este problema. En segundo lugar, Google debe haber discutido el tema de las reglas y pautas para divulgar toda la información sobre vulnerabilidades después de que hace dos meses publicara los detalles sobre la vulnerabilidad en Java Web Kit.

¿No les parece una situación extraña? La política oficial de Google ha sido publicar las vulnerabilidades de forma responsable. ¿Esto significa hacerlo en privado en vez de en nombre de la compañía? No lo creo. En Kaspersky Lab publicamos las vulnerabilidades de forma responsable, y si yo divulgara los detalles de una vulnerabilidad como lo hizo Google, sin duda ya estaría buscando otro trabajo. Por eso me parece que Google no disuade a sus empleados de publicar las vulnerabilidades completas, es más, es posible que los aliente a hacerlo.

¿Qué impulsa a Google a actuar de esta manera? Lo primero que llama la atención es que Google no publicó los detalles completos de las vulnerabilidades hasta hace dos meses.

Como ellos contratan a un buen número de investigadores de vulnerabilidades, debe haber habido algún cambio importante este año. Lo que viene a mi mente es Aurora.

Aurora comprometió la seguridad de Google a través de una vulnerabilidad sin parches que Microsoft conocía. Por eso es posible que Google haya adoptado alguna regla de cero-tolerancia.

Cuando Google descubre que la empresa responsable no responde tan rápido como debería, simplemente publica todos los datos de la vulnerabilidad. Así que, para Google, publicar una vulnerabilidad completa es lo más seguro que se puede hacer.

Algunos dicen que la batalla entre Google y Microsoft se ha intensificado, y que publicar los detalles completos de una vulnerabilidad le ofrece cierta ventaja. Estoy seguro de que Google hará todo lo posible para que no se perciba la situación de ese modo. Poner en riesgo los activos de un individuo o una empresa no es broma, y ninguna empresa decente lo haría ni en juego sólo para ganar un lugar en el mercado.

Esto nos devuelve a la opción número uno: que Google piense que está haciendo un bien. Retomemos el debate sobre la publicación completa tomando a Google como ejemplo.

Imaginemos que la vulnerabilidad que se usó para comprometer a Google a finales del año pasado se hubiese publicado dos semanas antes del ataque. ¿Habría habido alguna diferencia?

Yo creo que Google igual habría sufrido el ataque, pero el ‘daño colateral’ habría sido mucho mayor. Y por ‘daño colateral’ me refiero al número de ordenadores de usuarios comunes que también habrían sido víctimas del ataque.

Y en el caso de las víctimas corporativas, cualquier empresa que siguiese utilizando IE6 a finales de 2009 seguro también tenía instalado Adobe Reader 7 (según nuestra experiencia en muchas importantes empresas de tecnología en Estados Unidos y Europa). Reader 7 se convirtió en EOL a fines del año pasado, así que si no hubiese sido mediante IE6, habrían atacado a Google mediante alguna otra vulnerabilidad.

Si una de las empresas de tecnología más importante y con más recursos del mundo no puede controlar este tipo de situaciones, ¿cómo espera que lo haga el resto del mundo? Reitero que no dudo de las buenas intenciones de Google, pero publicar información completa sobre una vulnerabilidad sin duda tiene un efecto negativo en la seguridad de Internet. En ambas ocasiones aparecieron exploits para las vulnerabilidades días después de que Google publicara sus datos. No se puede negar que se están infectando ordenadores que no estarían comprometidos si Google no lo hubiese hecho.

Por favor, Google, ¡detente antes de causar más daños colaterales!

¿Qué está pensando Google?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada