2014, el año de las vulnerabilidades

Este año 2014 se ha convertido en un verdadero calvario para los administradores de sistemas y los responsables de seguridad de muchas empresas, sobretodo las que proporcionan servicios en Internet. A falta de dos meses para que finalice el año, ya son tres las vulnerabilidades graves detectadas que nos han puesto en jaque. Hablamos de Heartbleed, Shellshock y Poodle.

Si bien es cierto que tanto Heartbleed como Shellshock son fallos de implementación o de código, en la librería OpenSSL y en el intérprete de comandos Bash, respectivamente, no es así con Poodle, que es un fallo del propio diseño del protocolo (que ya tiene 18 años de antigüedad).

Hay que tener en cuenta, que gracias a que ambos proyectos son Software Libre/Open Source, es posible que cualquier especialista, voluntario, o cualquier que se precie, tenga la posibilidad de auditar el código fuente y detectar futuros incidentes como los vividos en los últimos meses.

Recordemos también el nacimiento de la Core Infrastructure Initiative, proyecto creado por grandes empresas relacionadas con Internet (Google, IBM o Intel, por citar algunas) con el beneplácito de la Linux Foundation, con el fin de proporcionar fondos para garantizar que este tipo de software tan crítico quede libre, en la manera de posible, de este tipo de fallos tan graves.

Para acabar, dado el creciente aumento en proporcionar cifrado en las conexiones HTTP, recomendar la herramienta que proporcionan en Qualys SSL Labs para verificar el grado de seguridad en cuanto a la implementación de SSL/TLS, así como verificar que hemos corregido estas vulnerabilidades citadas además de muchas otras. Un enlace que conviene tener siempre a mano en nuestros marcadores.