Las vulnerabilidades de ClickShare pueden haber sido parcheadas, pero ocultan un problema mucho mayor
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.
Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.
Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.
"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".
Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.
Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).
Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.
El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.
Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.
En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.
A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.
¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?
Juega a estos desafíos gamificados en:
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
