• Quienes somos
  • Nuestra Historia
  • Contactar
  • Políticas de Privacidad
  • Políticas IA
  • FUNDACIÓN
Informativos.Net
Medio online independiente desde 1999
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano
Tecnología

AN-LISIS DE LA DISTRIBUCIÓN DE ACTUALIZACIONES DE SEGURIDAD

escrito por Jose Escribano 3 de enero de 2001
0FacebookTwitterPinterestLinkedinRedditWhatsappTelegramThreadsBlueskyEmail
213

Un documento de la empresa BindView describe y analiza el

procedimiento de distribución de actualizaciones de seguridad de 27

compañías distintas.

La mayoría de los fabricantes de software, especialmente en el caso de

sistemas operativos, disponen de mecanismos de distribución de

actualizaciones de seguridad para sus productos. El documento analiza

las medidas de seguridad adoptadas para ello, poniendo especial

énfasis en la verificación de la autenticidad y la integridad del

«parche».

Básicamente existen cuatro formas de verificación:

– Firma digital: Es la más fiable y permite verificar la actualizacion

«offline».

– HASH: bastante fiable, pero requiere acceso a una página web o

base de datos conteniendo los hashes. Un ejemplo de este sistema

lo tenemos en el boletín 560, «Solaris Fingerprint Database»,

disponible en http://www.hispasec.com/unaaldia.asp?id=560.

– Descarga a trav’s de HTTPS: tiene la desventaja de que la descarga

es segura, pero una vez descargado el fichero no tenemos forma de

verificar su autenticidad o integridad.

– Descarga SSH: Similar a la HTTPS, y con los mismos problemas.

La autenticidad y la integridad son importantes porque, como se puede

ver en el estudio, muchos de los servidores desde los que se descarga

el software son susceptibles de ataques antiguos y conocidos, y un

atacante malicioso podr¡a reemplazar una actualizaci¢n por un caballo

de troya, por ejemplo. Tambi’n se pueden realizar ataques del tipo

«DNS spoof», en la que un usuario se conecta a un servidor diferente

del que ha tecleado en la URL.

Mi conclusi¢n es que la mayor¡a de los fabricantes de software no

est n preocupados por este problema, probablemente por falta de

demanda desde los propios clientes, y no proporcionan ningon mecanismo

de seguridad fiable.

En ese aspecto, la mayor¡a de las distribuciones Linux ganan por

goleada, al distribuir avisos de seguridad firmados digitalmente y que

contienen hashes criptogr ficos de los ficheros actualizados. Lo mismo

se puede decir de grandes fabricantes como SGI (antigua Silicon

Graphics) o IBM.

Fabricantes como Sun, Apple o Digital/Compaq no disponen de ningon

mecanismo de control de autenticidad e integridad, lo que supone un

error de seguridad imperdonable.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldiacom.asp?id=800

M s informaci¢n:

Summary of «Vulnerabilities in Operating-System Patch Distribution»

http://razor.bindview.com/publish/papers/os-patch-sum.html

Vulnerabilities in Operating-System Patch Distribution

http://razor.bindview.com/publish/papers/os-patch.html

09-05-2000 – Solaris Fingerprint Database

http://www.hispasec.com/unaaldia.asp?id=560

Jesos Cea Avi¢n

jcea@hispasec.com

http://www.hispasec.com

Autor

  • JAE
    Jose Escribano

    Responsable de Contenidos en Informativos.Net

    Ver todas las entradas
anterior
LOS 50 MEJORES DISCOS INTERNACIONALES EN EL 2.000 SEGUN INFORMATIVOS.NET
siguiente
OSCULO OSCURO IX

También te puede interesar

DragonForce, el cártel de ransomware que está rediseñando...

8 de mayo de 2025

La decadencia digital: cuando internet pierde la memoria

18 de febrero de 2025

Microsoft lanza Copilot en WhatsApp para asistencia con...

2 de octubre de 2024

Los 15 trabajos más expuestos a la automatización...

24 de marzo de 2024

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

21 de enero de 2023

Entrevista a Esther Paniagua: «Error 404» es una...

22 de octubre de 2021

Visión artificial para contar aglomeraciones de personas

27 de febrero de 2018

YONDER: la app de karaoke para que muestres...

25 de marzo de 2017

Abierto el plazo de solicitudes participar en el...

29 de agosto de 2016

COLABORA CON NUESTRA FUNDACIÓN

https://t.me/informativosnet

Nos cuidan…


  • Facebook
  • Twitter
  • Instagram
  • Linkedin
  • Youtube
  • Email
  • Spotify
  • Whatsapp
  • Telegram
  • Rss

© 1999-2025 • Fundación Informativos.Net


Ir arriba
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano