Las vulnerabilidades de ClickShare pueden haber sido parcheadas, pero ocultan un problema mucho mayor
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
Recursos para empezar
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
OWASP Top 10 para aplicaciones LLM: Novedades, cambios y cómo mantenerse seguro
Manténgase a la vanguardia de la seguridad de las aplicaciones LLM con las últimas actualizaciones del Top 10 de OWASP. Descubra qué hay de nuevo, qué ha cambiado y cómo Secure Code Warrior le equipa con recursos de aprendizaje actualizados para mitigar los riesgos en la IA Generativa.
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.