La Mejor Defensa es la Información

En los últimos dos meses, han estado circulando rumores sobre una vulnerabilidad sin parchear en los productos de Adobe. El pasado Jueves 19 de febrero, los colegas de Shadowserver confirmaron que hay un exploit para esta vulnerabilidad y han obtenido una muestra de ella. Pocas horas después Adobe confirmó el fallo con un advisory oficial. McAfee, Symantec, y otras compañías no se han hecho esperar en decir que tenían muestras que se remotan a Enero y hasta Diciembre del año pasado. Symantec publicó una respuesta casi una semana ántes del advisory.

defensa-informacion

El exploit fué detectado, está siendo activamente explotado, y no lo fué hasta que los colegas de Shadowserver escribieron un resumen de la falla, que Adobe se molestó en lanzar un advisory. Con la fecha de cobertura del 12 de febrero, de Symantec, solo podemos asumir que ellos contactaron Adobe así como también les dieron acceso a la muestra que ellos tenían. La respuesta oficial de Adobe es que un parche para Adobe Acrobat 9 estará disponible el 11 de Marzo, pero ninguna fecha ha sido anunciada para las versiones anteriores. Compare esta respuesta de Microsoft MS08-078, MS08-067, ó incluso MS06-001 y podrá ver una clara diferencia en la forma como responden éstas compañías a los ataques del mundo real en contra de sus usuarios.

Todos los proveedores de seguridad, tanto los que hacen antivirus, evaluación, ó productos de detección de intrusos dependen de la información detallada de las vulnerabilidades para sus productos, crear firmas, y al final, proteger mejor sus usuarios. A pesar de cuantos recursos tengan estos proveedores, todos ellos dependen de la información publica en cierta medida. Las compañías de antivirus tienen una ventaja en términos de recopilación de datos en bruto, pero aún usan sitios web como Milw0rm y herramientas como Metasploit para asegurarse de que sus productos realmente funcionan. La hipocresía es que si bien algunos de estos proveedores comparten información con el público e incluso contribuyen en la investigación de vulnerabilidades, muchos de ellos están usando estos recursos para el ensayo de productos y al mismo tiempo abrumar en sus aviso para la prensa y sus clientes.

El caso más notable de divulgación de información es cuando el beneficio de hacer pública esta información sobrepasa los riesgos posibles. En este caso, como en muchos otros, los chicos malos son los que ganan. Exploits ya están siendo usados y el hecho de que el resto del mundo apenas se esté dando cuenta no significa que estas vulnerabilidades sean nuevas. En este punto, la mejor estrategia es dar a conocer, distribuir la información pertinente, y aplicar la presión sobre los proveedores para liberar un parche.

Adobe ha programado el parche para el 11 de Marzo. Si cree que Symantec les notificó el 12 de Febrero, ha pasado casi un mes entero desde la noticia de un exploit disponible hasta la respuesta del vendedor. Si el vendedor involucrado fuera Microsoft, la prensa estaría criticándoles en este preciso instante. Que parte de "sus clientes están siendo explotados" no entienden?

De nuevo, Sourcefire se enfoca en donde el vendedor falla. Hoy día, Sourcefire VRT hizo público un parche provisional para mitigar este fallo hasta que adoba produzca el parche completo. Afortunadamente, el parche de Sourcefire, junto con las nuevas firmas de IDS y AVs, servirá hasta que Adobe libere la revisión.

Esta es una adaptación al español del articulo "The Best Defense is Information" realizada por Cortex

Subir