[Solar-general] Vulnerabilidad, Amenaza, Riesgo, Impacto

Jue Feb 12 11:46:03 CET 2009

Vulnerabilidad, Amenaza, Riesgo, Impacto

De la misma manera que todos los libros de Mecánica Elemental hablan
de la manzana que le cayó en la cabeza a Newton, los libros de
Seguridad Informática Básica explican la cadena de conceptos que da
título a este post. El problema es que muchos se preocupan sólo por
las vulnerabilidades e ignoran el resto, con el consiguiente error en
la evaluación de riesgos.

Si nos guiáramos por los títulos catástrofe y amarillistas de las
noticias de seguridad IT que muchos medios publicaron durante el año
pasado, tendríamos la visión que los centros de computo de las
empresas no sólo habrían dejado de funcionar, sino que se habrían
convertido en alguna especie de oscuro pantano con todo tipo de
alimañas mutantes desplazándose a traves de los cadáveres de los
servers.

El problema de los que se alarman y escriben los horrores de cada
nueva vulnerabilidad que se detecta, es que pocas veces comprenden su
funcionamiento técnico real y casi siempre ignoran que lo que se ha
descubierto es sólo la primer parte de lo que hay que analizar.

Repasemos los conceptos:
Una vulnerabilidad es una anomalía cuya explotación puede provocar una
disminución de la integridad, la operatividad o la confiencialidad del
sistema informático al que pertenece.

Esa vulnerabilidad pasa a ser una amenaza cuando es fácil de explotar
en cualquier entorno que la contenga.

La amenaza representará un riesgo para un determinado sistema si éste
contiene la vulnerabilidad y además no cuenta con una capa de
Seguridad específica o general que lo proteja.

El impacto que produce la amenaza en la organización no depende de las
características de al vulnerabilidad, sino del grado de criticidad de
la parte del sistema informático en que puede llegar a actuar.

Un ejemplo claro de este tipo de mal manejo de la información fue el
problema de la explotación de las colisiones del algoritmo de
encripción Hash MD5, que permitirían la generación de certificados
digitales falsos.
Basados sólo en esta información, fueron muchos los que proclamaron el
fin del comercio electrónico y la firma digital, entre otras
catástrofes tecnológicas.

Apliquemos ahora los conceptos que repasamos:
La posibilidad de generar certificados falsos era técnicamente real,
con lo cual estábamos en presencia de una vulnerabilidad.

Para explotarla hacía falta, además del conocimiento que no se
divulgó, una cantidad considerable de poder computacional, no
disponible para cualquier hacker que ande por ahí. Además había que
considerar que en el momento de la publicación de la noticia quedaban
muy pocas Autoridades Certificantes que utilizaran el algoritmo MD5
para verificación de integridad, el que fue reemplazado como estándar
por el SHA1 hace cuatro años. Por lo tanto, no representaba una
amenaza.

Las pocas Autoridades Certificantes que en el momento de la noticia
aún verificaban con MD5, cambiaron a SHA1 en cuestión de horas.
Entonces, aunque la vulnerabilidad se hubiera convertido en amenaza,
el riesgo que representaría sería muy bajo.

Es por todo esto que no se registró ningún incidente de certificados
falsos, con lo que la vulnerabilidad no llegó a registrar ningún
impacto.
Aquí es necesario señalar que, de haberse producido algún incidente,
este no podría haber sido ocultado por la Autoridad Certificante
afectada, debido a que la empresa o el particular afectado habría dado
a conocer el hecho de la manera más sonora posible.

Y así llegamos a una conclusión similar a la de otros post, emitir
opinión en IT o en cualquier ámbito, conlleva la responsabilidad de
tener el conocimiento adecuado para hacerlo.

Por Gustavo Aldegani
Editor de la Comunidad Seguridad

-- 
Pablo Manuel Rizzo
-------------------------------------------------
"No hay camino hacia la Libertad,
la Libertad es el camino" - Gandhi
-------------------------------------------------