Muchos agujeros de seguridad relevantes se han encontrado en el 2014. Ha sido un año bastante problemático, y ha sido preciso actualizar gran cantidad de sistemas. También el número de máquinas infectadas ha sido enorme.
Informes de empresas de seguridad han constatado que el 2014 ha sido el año con las peores brechas de seguridad, y eso que todavía no ha terminado.
Durante los 9 primeros meses del 2014, 904 millones de registros con datos fueron expuestos a brechas de seguridad, comparados con los 813 millones del 2013.
Informe de Risk Based Security:
https://www.riskbasedsecurity.com/reports/2014-Q3DataBreachQuickView.pdf
Las empresas cada vez son más conscientes de la necesidad de disponer de responsables y personal experto en seguridad informática. Formación y actualización constante es vital para el mantenimiento de las infraestructuras TI
Como os muestro en el link inferior a la base de datos del NIST CVE con una búsqueda que he realizado personalizada, existen 1833 registros que contienen fallos se seguridad aplicables a sistemas o aplicaciones informaticas con una severidad de 7 a 10.
En fin, hagamos un repaso breve de estas brechas de seguridad.
HeartBleed o corazón sangrante.
http://www.palentino.es/blog/protege-tus-navegadores-contra-el-bug-heartbleed/
ShellSock
http://www.palentino.es/blog/el-devastador-agujero-de-seguridad-shellshock/
OpenSSL.
Bautizada como CVE-2014-0224, vulnerabilidad ‘man-in-the-middle’. La vulnerabilidad puede ser explotada para descifrar y modificar el tráfico SSL (Secure Sockets Layer) y TLS (Transport Layer Security) entre clientes y servidores que utilicen OpenSSL, si la versión de la librería del servidor es la versión 1.0.1 o posterior.
https://www.openssl.org/news/vulnerabilities.html
Fallo de seguridad en el reproductor Flash Player.
Vulnerabilidad conocida como CVE-2104-8439, permitiría la instalación de malware.
Afectaba a las versiones de Flash Player para Windows, Macintosh y Linux.
Fallo de seguridad en Sony.
El 24 de noviembre se descubrió un ataque a los ordenadores de Sony basados en Windows, con el objetivo de hacerse con datos de los usuarios. En agosto, la empresa habría sufrido un ataque de denegación de servicio en PlayStation Network.
Fallo de seguridad en iOS
En febrero, Apple tuvo que lanzar una nueva versión de su sistema operativo, iOS 7.0.6, para solucionar una vulnerabilidad SSL (Secure Socket Layer) que afectaba a todos los dispositivos con esta versión del software que permitía que los hackers interceptaran y alteraran las comunicaciones que se producen entre el dispositivos y los servidores y páginas web. La vulnerabilidad afectaba también al sistema operativo para ordenadores, a Mac OS X, cuando se utiliza Safari en redes WiFi no seguras.
Luuuk
Este año también se descubrió un malware llamado Luuuk, capaz de robar grandes cantidades de dinero a clientes bancarios. Concretamente, consiguió robar medio millón de euros a un banco europeo en una semana. Nunca se reveló qué banco había sido la víctima.
http://www.eleconomista.es/interstitial/volver/219637822/tecnologia-internet/noticias/5893822/06/14/Luuuk-el-troyano-que-robo-500000-de-un-banco-europeo-en-una-semana-y-desaparecio.html
BlackShades
BlackShades es un malware utilizado para conseguir el control de ordenadores y poder robar información personal; el código puede incluso interceptar las pulsaciones del teclado o activar la webcam y grabar a los usuarios sin su conocimiento. Y por si esto no fuera poco, BlackShades puede cifrar la información de los ordenadores en los que se ha instalado y pedir un rescate si se quiere acceder a los archivos interceptados.
http://en.wikipedia.org/wiki/Blackshades
Poodle
http://en.wikipedia.org/wiki/POODLE
SoakSoak en WordPress
http://blog.sucuri.net/2014/12/soaksoak-malware-compromises-100000-wordpress-websites.html
Misfortune Cookie
Al menos 12 millones de ‘routers’ domésticos afectados por un agujero de seguridad.
http://mis.fortunecook.ie/
