Inicio Eventos y Lanzamientos Eventos Core Security inició un nuevo Bugweek

Core Security inició un nuevo Bugweek

Core Security Technologies, proveedor de CORE IMPACT -el producto más exhaustivo para evaluar la seguridad a nivel corporativo-, inició la quinta edición de Bugweek, su evento interno anual donde toda la compañía se dedica a detectar vulnerabilidades en aplicaciones y sistemas.

Durante quince días y hasta el 14 de diciembre, las casi 100 personas que trabajan en la sede local se dedican a detectar fallas de seguridad en aplicaciones de software. Los empleados, tanto técnicos como administrativos y de recursos humanos, son divididos en dos grupos, que trabajan en una de las dos semanas. A su vez, cada uno, es dividido en equipos de cinco a seis personas.

El objetivo principal de esta iniciativa, más allá de constituir una marca diferencial de la compañía, es advertir a los usuarios sobre las vulnerabilidades que afectan a diversas aplicaciones y sistemas. Adicionalmente, esta actividad refuerza el sentido de pertenencia de los empleados de Core Security, ya que todos los aportes son tomados en cuenta.

“El core business de nuestra compañía es la seguridad informática, tanto desarrollar nuestro producto para realizar tests de intrusión, como consultoría e investigación“, afirmó Alejandro Locicero, Vicepresidente de Consultoría, Investigación y Operaciones. “Los sistemas son cada vez más complejos y, además, es necesario protegerlos contra una mayor cantidad de ataques. En este sentido, esta iniciativa es extremadamente desafiante y una excelente oportunidad para que nuestro personal supere sus propios límites en la búsqueda de agujeros en la seguridad”.

Las vulnerabilidades en la mira de todos

Las vulnerabilidades son cuestiones que se obviaron en el diseño o implementación del software, que permiten ampliar o reducir la funcionalidad del sistema. Hay diferentes métodos para descubrirlas, que van desde la auditoría del diseño y código (buscando patrones comunes vulnerables, transpolando una nueva vulnerabilidad desde otra aplicación), hasta la inspiración (con nuevas técnicas e ideas) y el azar (una pantalla azul puede ser un accidente afortunado).

Con los métodos empleados se busca obtener exploits, que son programas o técnicas para aprovechar una falla de seguridad con diversos objetivos según quien los utilice. Por un lado, se pueden destinar a la evaluación de la seguridad de una compañía, por otro, usarlos para ingresar con fines maliciosos en una empresa, por ejemplo, para extraer información crítica.

Las pruebas se realizan en servidores de la compañía, desde la computadora de cada usuario, en cada terminal y en otros equipos especialmente destinados para esta actividad, en los que se instalan aplicaciones a auditar.

El camino de la falla

Los pasos a seguir cuando se detecta una vulnerabilidad comienzan con un reporte al responsable de la aplicación, para que ésta pueda ser resuelta. Luego, el fabricante realiza pruebas para confirmar esta falla y desarrolla, si fuera necesario, el parche para subsanarla, liberándolo posteriormente al público. Por otra parte, estas vulnerabilidades se convierten en exploits, que permiten mostrar el alcance y consecuencias del agujero de seguridad.

Finalizado el Bugweek, la compañía recopila las vulnerabilidades y escribe los advisories, o advertencias de seguridad a los fabricantes.

Gracias a este evento, que se realiza desde 2000, diversas fallas de seguridad fueron detectadas, entre las que se pueden mencionar las siguientes:

– Vulnerabilidad en AOL ICQ Pro 2003b (heap overflow)
– Múltiples vulnerabilidades en ICQ Toolbar 1.3 para Internet Explorer
– Vulnerabilidad en Asterisk PBX (truncated video frame vulnerability)
– Vulnerabilidades en el cliente IAX (truncated frames vulnerabilities)
– Vulnerabilidad en Microsoft Active Directory (Stack Overflow)
– Vulnerabilidad en Windows NetMeeting (Directory Traversal)
– Múltiples vulnerabilidades en el cliente Mirabilis ICQ Pro 2003a

Algunos Servicios recomendados por Todo en un click



¿Todavía tu emprendimiento no es parte de nuestra Guía Click? ¿Que estás esperando?