Nueva base de datos rastrea amenazas de seguridad de código abierto

Tras dos años de desarrollo, la base de datos de vulnerabilidades de código abierto (OSVDB) hizo su debut en línea esta semana, brindando al público un catálogo constantemente actualizado de las vulnerabilidades de seguridad en constante cambio de Internet.

El proyecto está patrocinado por Digital Defense y Winterforce y está disponible en osvdb.org.

El Proyecto de vulnerabilidad de código abierto se inició en 2002 luego de que la comunidad de seguridad se diera cuenta de que no existía una base de datos de vulnerabilidad independiente mantenida por la comunidad.

«Hubo, y todavía hay, numerosas bases de datos de vulnerabilidades», dijo un comunicado en el sitio web osvdb.org, que se puso en marcha el 31 de marzo.

«Algunas de estas bases de datos son mantenidas por intereses privados para satisfacer sus propias necesidades, mientras que otras contienen un subconjunto limitado de vulnerabilidades o tienen restricciones significativas en su contenido. Ninguna es completa, abierta al uso libre y responsable frente a la comunidad.

Los organizadores de la OSVDB se propusieron montar una base de datos de vulnerabilidades que cumpliera con todos estos requisitos.

Siguiente paso del conjunto de crecimiento

La organización detrás del proyecto es virtual. Los colaboradores se centraron inicialmente en establecer un grupo central de organizadores de proyectos, crear la infraestructura técnica para recopilar y validar datos de vulnerabilidad y crear un equipo de colaboradores para generar registros de vulnerabilidad de código abierto.

«Estos objetivos se han logrado y el equipo OSVDB ahora está planeando su próxima etapa de crecimiento», dijo un comunicado de los organizadores.

Durante sus primeros días de funcionamiento, la base de datos enumeró una serie de vulnerabilidades, incluidos problemas con la omisión de permisos de MyGuestbook. MyGuestbook contiene una falla que permite a un atacante remoto, utilizando una solicitud de URL correctamente diseñada, acceder al panel de administración web y funciones de administración, como agregar o eliminar entradas de la base de datos.

Esto se refiere a la secuencia de comandos ASP en desuso denominada MyGuestbook de Elad Rosenberg y no a la secuencia de comandos PHP/MySQL denominada MyGuestbook de Mark Kronsbein, indicó una declaración en el sitio.


Búsqueda CERT

La investigación del Equipo de Respuesta a Emergencias Informáticas (CERT) indica que la cantidad de vulnerabilidades de seguridad informática descubiertas cada año ha aumentado en más del 2000 % desde 1995.

Los operadores de red y los profesionales de TI creen que el seguimiento de estas vulnerabilidades y sus remedios es esencial para quienes protegen los sistemas en red de abusos accidentales y ataques deliberados, desde usuarios domésticos y pequeñas empresas hasta empresas globales.

Pero esta iniciativa del sector privado no es la única en marcha para combatir a los creadores de códigos maliciosos. el Departamento de Seguridad Nacional y el FBI rastrean a los creadores de código malicioso y han creado un Centro de Respuesta al Terrorismo Cibernético.

Con nuevos tipos de delitos en Internet que se inventan todos los días, dice el centro, estos delitos tienen el potencial de degradar o interrumpir la infraestructura crítica, como bloquear las comunicaciones de emergencia o cortar la electricidad y el agua. .

El gobierno, por ejemplo, recomienda que las organizaciones se protejan contra futuros códigos maliciosos enviados por correo electrónico «bloqueando cualquier código ejecutable en su puerta de enlace de correo electrónico».

¿Amenaza exagerada?

Pero algunos expertos en computación se muestran escépticos sobre el impacto económico potencial del crimen y el terror en Internet. George Smith, investigador principal de GlobalSecurity.org, un grupo de expertos de Washington, DC que estudia problemas de seguridad, le dijo a LinuxInsider que ha estado siguiendo el tema durante años.

La Casa Blanca de la era Clinton tenía un jefe de terrorismo en Internet, Richard Clarke, el mismo individuo que publicó el controvertido libro la semana pasada. Contra todos los enemigos.

Smith dijo que fue Clarke quien promulgó por primera vez la idea de un ‘Pearl Harbor digital’, cuando estaba en el gobierno, y quien fue una de las principales fuentes de temor generadas por el gobierno con respecto al fenómeno exagerado del año 2000.


«Como era de esperar, una revisión de dos años de la literatura de Clarke en los medios de comunicación muestra que el registro público de los discursos y entrevistas del asesor del Consejo de Seguridad Nacional está casi completamente desprovisto de una discusión sustantiva sobre seguridad informática y ciberterrorismo, pero rico en clichés y excesivamente dependiente en conversaciones simplistas y afirmaciones sin fundamento”, dijo Smith a LinuxInsider.

———————————————————————————————————————–
Esperamos que te haya gustado el contenido de nuestro Blog El Diario del Mundo, sí fue así, por favor compártelo nos ayudarías mucho para seguir publicando más contenido.

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.