¿La tecnología de la información aumentó o disminuyó la seguridad con la introducción de las funciones de actualización automática?

2

Por razones obvias, enseñamos a los usuarios

  

Actualice siempre ... las actualizaciones son buenas ... ¡nunca olvide las actualizaciones, etc.!

Aparte del peligro de los anuncios maliciosos que hacen uso de eso para mostrar a los usuarios que necesitan "actualizar" , quiero que esta pregunta se centre en las funciones de actualización automática en el software específicamente.

Muchas aplicaciones han introducido funciones de actualización automática, en las que los usuarios básicamente ya no tienen que hacer nada para renovar o actualizar completamente su software con nuevas características (no deseadas). Como profesional de seguridad, mi primer sentimiento sobre eso sería "Genial, hace que el mundo sea un poco más seguro", especialmente porque elimina la interacción humana que a menudo causa fallas debido a la pereza, olvidando actualizar, olvidando incluso buscar actualizaciones o lo que sea. motivo "humano" que causa la falta de actualización y comienza a parchar las vulnerabilidades conocidas automáticamente.

Las personas obtienen toneladas de diferentes actualizaciones de aplicaciones móviles, actualizaciones del sistema operativo y actualizaciones de aplicaciones de escritorio. ¿Toda esta actualización no aumenta el riesgo de seguridad al introducir posiblemente vulnerabilidades en alto ritmo en una escala masiva?

Entonces, por un lado, tienes el extremo de no tener actualizaciones automáticas, por otro lado, tienes un escenario en el que todo se actualiza automáticamente. Considero que la desventaja de los auto-actualizadores es que pueden introducir rápidamente nuevas vulnerabilidades.

Me gustaría ver algún tipo de análisis estadístico que muestre la posibilidad de ambos escenarios.

    
pregunta Bob Ortiz 04.08.2016 - 16:05
fuente

3 respuestas

8

Las actualizaciones automáticas mejoraron en gran medida la seguridad al corregir cualquier vulnerabilidad que no sea de día cero.

La mayoría de las vulnerabilidades solo son conocidas por el público en general después de que se publica un parche para este. Hace años, cuando las actualizaciones automáticas no eran la norma, los hackers de sombrero negro utilizaban para revertir las actualizaciones de seguridad, descubrían qué vulnerabilidades solucionaban, escribían vulnerabilidades y las distribuían entre los usuarios objetivo que no se molestaban en instalar el actualizar. Eso nos dio epidemias como Win32.Sasser que se propagó a través de una vulnerabilidad que ya estaba parchada cuando apareció el gusano, pero muchas personas no tenían el parche instalado.

Pero hoy en día, el lanzamiento de una actualización de seguridad significa que en pocas horas ya nadie será vulnerable. Simplemente no es tiempo suficiente para crear un exploit y distribuirlo.

La alta frecuencia de parches también significa que las personas que buscan vulnerabilidades de día cero (lo que significa: encontrar vulnerabilidades por su cuenta antes de que lo hagan los desarrolladores) apuntan a un objetivo móvil. Una vulnerabilidad podría solucionarse incluso cuando todavía están trabajando en su vulnerabilidad (a veces incluso sin intención).

    
respondido por el Philipp 04.08.2016 - 16:35
fuente
1

Esta es una de esas preguntas que fomenta el debate más de lo que permite una respuesta concisa. Como reconoces en tu pregunta, existen argumentos para ambos lados, pero es abrumadoramente evidente que los profesionales de TI prefieren las actualizaciones automáticas. ¿Significa que su computadora puede tener constantemente alguna vulnerabilidad? Absolutamente. Usted confía en los desarrolladores de una aplicación que auditan a fondo cada cambio que realizan en un programa o sistema operativo.

¿Las actualizaciones automáticas son ridículas en algún nivel? Absolutamente. La aplicación del sintonizador de mi teléfono no necesita actualizaciones constantes. ¿Pero para navegadores web, sistemas operativos y software de servidor como Apache?

Soy de la opinión popular de que preferiría tener un número incalculable de vulnerabilidades desconocidas en mi sistema durante un período de tiempo relativamente infinitesimal a una vulnerabilidad que cualquier script-kiddy pueda explotar desde una consola metasploit. Y si eso significa una batalla constante entre desarrolladores y hackers, sigo prefiriendo el enfoque ofensivo sobre el enfoque defensivo.

En seguridad informática, los ataques dinámicos pueden y siempre tendrán éxito contra las defensas estáticas. Además de todo, como la facilidad de uso y la simplificación del usuario, las actualizaciones automáticas proporcionan cierto nivel de dinamismo.

    
respondido por el Verbal Kint 04.08.2016 - 16:34
fuente
1

Creo que este es un tema de discusión muy subjetivo. Lo importante a tener en cuenta aquí es que las características como la actualización automática se diseñaron teniendo en cuenta la conveniencia del usuario / administrador del sistema (Imagine acceder a cada sistema en su lugar de trabajo para instalar actualizaciones) y cada vez que agregue un poco de comodidad a un El sistema de la superficie de ataque se magnifica automáticamente.

Las actualizaciones (Manual / Automático) pueden parchar vulnerabilidades antiguas pero al mismo tiempo existe el riesgo de que se introduzcan nuevas en el sistema. El mejor ejemplo que se me ocurre en los últimos tiempos es Heartbleed. Toda la versión de OpenSSL anterior a 1.0.1 no se vio afectada por la vulnerabilidad, ya que la función de latido se introdujo en la versión 1.0.1. La exageración en torno a Heartbleed nos puso a los consultores en una situación difícil, ya que les habíamos dicho a nuestros clientes que mantuvieran sus sistemas actualizados.

El hecho es que en los sistemas heterogéneos de hoy en día donde parte del código que se ejecuta en su PC / servidor / teléfono está cambiando a diario, todo se reduce al nivel de confianza que tiene sobre los desarrolladores de aplicaciones y la compensación. controles que podría haber implementado (como parte de su política de mitigación de riesgos empresariales).

    
respondido por el Shurmajee 04.08.2016 - 19:58
fuente

Lea otras preguntas en las etiquetas