Cómo diferenciar una puerta trasera de una vulnerabilidad

Los profesionales de seguridad de TI pueden ser muy pedantes. Eso puede hacer que las reuniones sean un poco tediosas, o llevarlas fuera de tema: consultar el uso de una persona de los términos vulnerabilidad, riesgo y amenaza, o interrumpir cuando alguien se refiere a un virus cuando es técnicamente un gusano. La aplicación del término "puerta trasera" a ciertos tipos de vulnerabilidades sin duda puede provocar una fuerte discusión en el momento, debido a la creciente debate sobre el cifrado y el espionaje del gobierno. Este consejo explora las diferencias entre una puerta trasera de seguridad y una vulnerabilidad, y cuándo es apropiado etiquetar algo como una verdadera puerta trasera.

Clasificando las vulnerabilidades de seguridad

Hay un montón de definiciones del término vulnerabilidad en lo que respecta a la seguridad informática, pero el Glosario Nacional de Aseguramiento de la Información, producido por el Comité de Sistemas de Seguridad Nacional lo cubre razonablemente bien: "Debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada". Tenga en cuenta que una vulnerabilidad puede existir no solo en software, sino en el hardware, una ubicación física, un proceso o cualquier cosa que desempeña un papel en un entorno de TI y que podría permitir a un atacante reducir su aseguramiento de la información.
Sin embargo, no todas las vulnerabilidades tienen el mismo impacto, y las vulnerabilidades en el software por lo general se clasifican según su gravedad para ayudar a los administradores de sistemas a dar prioridad a las estrategias de mitigación. La Base de datos Nacional de Vulnerabilidades proporciona clasificaciones de severidad de Baja, Media y Alta, mientras que Microsoft utiliza Baja, Moderada, Importante y Crítica. Las vulnerabilidades en el software se producen debido a una amplia variedad de razones: defectos de diseño, defectos de lógica, riesgos no previstos y errores de programación, entre otros y, a pesar del uso de marcos de aseguramiento para el ciclo de vida del desarrollo de la seguridad, escáneres de vulnerabilidad y analizadores de código, el software escrito por humanos nunca va a ser perfecto.

Las vulnerabilidades se introducen a menudo cuando se le da prioridad a la facilidad de uso sobre la seguridad. Por ejemplo, algunos programas incluyen a propósito código, como una combinación de nombre de usuario y contraseña codificados que permiten a los administradores eludir los controles de acceso normales del programa y obtener acceso al sistema. Fue una práctica común en los primeros días de las redes de computadoras, para permitir que los proveedores dieran servicio a las instalaciones de clientes sin tener que estar físicamente en el lugar. Estas son puertas traseras de seguridad diseñadas en un programa.

Identificando puertas traseras de seguridad

Aunque deliberadamente incluidas en un programa para uso legítimo, estas puertas traseras son un gran riesgo de seguridad, ya cualquier otra persona que las descubre puede acceder al sistema en el que se están ejecutando. Ciertas vulnerabilidades en un programa de software o configuración también pueden crear, involuntariamente, el mismo efecto que una puerta trasera. La depuración de código, por ejemplo, a veces puede revelar contraseñas y claves criptográficas si no se retiraron de la versión de lanzamiento. Incluso una contraseña predeterminada puede permitir el acceso no deseado si no es cambiada por el usuario.

Los ingenieros internos de Cisco han descubierto recientemente que una cuenta de usuario predeterminada fue creada cuando alguno de sus dispositivos de la serie Aironet 1800 fue instalado. Se trata de una vulnerabilidad, no una puerta trasera intencional de seguridad. Solo podría realmente ser llamada una puerta trasera si la administración de Cisco hubiera refrendado la característica o código que intencionalmente hizo al sistema inseguro. No obstante, es una grave vulnerabilidad, ya que un atacante podría iniciar sesión en el dispositivo utilizando la cuenta predeterminada para obtener acceso no autorizado al dispositivo.

El sistema operativo FortiOS de Fortinet, que contenía credenciales de acceso codificadas es una situación similar. En el blog de Fortinet, se dijo que "esta vulnerabilidad es una consecuencia no intencional de una característica que fue diseñada con la intención de proporcionar un acceso transparente de un FortiManager autorizado a los dispositivos FortiGate registrados. Es importante tener en cuenta que este no es un caso de una puerta trasera maliciosa implementado para permitir el acceso de usuarios no autorizados".

Las vulnerabilidades de Cisco y Fortinet son dos casos en los que una vulnerabilidad permitía el acceso no autorizado a un dispositivo, pero una verdadera puerta trasera se crea intencionalmente. Uno de los métodos utilizados por los hackers es engañar a un usuario para que instale un software que luego descarga un programa como BackDoor.Yebot, que da a los hackers acceso no autorizado a la máquina: una puerta trasera. Algunos gusanos informáticos, como Sobig y Mydoom, también pueden instalar una puerta trasera de seguridad en los equipos a los que afectan.

Estos son claros intentos de instalar intencionalmente puertas traseras de seguridad con el fin de obtener acceso no autorizado con fines maliciosos, pero algunos casos son mucho más sutiles. Un pequeño cambio de dos líneas de código añadido al kernel de Linux en el año 2003 no fue un error tipográfico accidental, sino un intento de crear una puerta trasera. No hubo ningún registro de aprobación para el cambio, por lo que alguien había ingresado claramente a la fuerza en el código fuente para insertar el cambio. Todavía no está claro cómo el código de puerta trasera no autorizada llegó al software ScreenOS de Juniper Networks. La Agencia Nacional de Seguridad (NSA) es el principal sospechoso, pero la puerta trasera funcionó porque Juniper utilizó un algoritmo criptográfico modificado que se sabía que había sido debilitado por la NSA.

En pocas palabras, las vulnerabilidades no son creadas deliberadamente, y cualquier impacto adverso sobre la seguridad o el acceso no es intencional. Una puerta trasera seguridad, por otra parte, se crea intencionalmente y siempre es una grave vulnerabilidad, ya sea que sea diseñada con una intención maliciosa o no.

Fuente: SearchDataCenter