La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 16-05

QuickTime para Windows vulnerable: ¿Qué les importa a las empresas?

A mediados de abril se publicaron dos vulnerabilidades de seguridad en QuickTime de Apple para Windows. Se descubrieron a finales de 2015, pero como no se dieron a conocer, Apple tuvo tiempo de reaccionar. Lo que aquí se llamó "anunciar" tiene repercusiones...
Raimund Genes, Trend Micro
4 de mayo de 2016
Contenido:
Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La recomendación oficial de Apple era simplemente desinstalar QuickTime. Gracias a HTML 5 y al soporte de vídeo directamente en los navegadores web, esto no afecta realmente al "usuario normal".

Esto convertiría esta historia en un clásico tema de consumo. Sin embargo, existe otra faceta de QuickTime: ProRes.

Se trata de un códec de vídeo desarrollado por Apple para cine y vídeo profesional. Muchas superproducciones de Hollywood se ruedan con cámaras que utilizan ProRes nativo como "formato de película".

Aunque los códecs ProRes están incluidos en Mac OS X, la única forma legal en Windows era instalar QuickTime. Esto es especialmente cierto para los programas de edición, corrección de color, 3D y efectos visuales.

Con la interrupción de QuickTime, flujos de trabajo de producción enteros quedan de repente "colgados en el aire". Una situación muy extendida en entornos profesionales y operaciones informáticas.

La descontinuación del software o el fin del soporte es un problema con el que hay que lidiar casi a diario en los sistemas de control industrial. En el caso de algunos componentes industriales con una vida útil prevista de 20 años o más, no debería sorprendernos que Windows XP todavía se encuentre allí con frecuencia.

En algunos casos, ¡incluso todavía se puede encontrar MS-DOS!

La opción de una actualización rápida no existe en este caso. Por un lado, porque esto significa que ya no se puede garantizar la funcionalidad del sistema. Por otro lado, sin embargo, también por razones bastante banales como las dependencias de hardware.

Ni siquiera tiene que ser el fin completo del soporte de un software. Incluso la instalación puntual de parches críticos es problemática. Muchos sistemas críticos para la empresa, en particular, tienen ventanas de mantenimiento definidas.

Aunque el parche esté disponible y pueda aplicarse, puede tardar hasta medio año (¡o más!) hasta la siguiente ventana de mantenimiento. Durante este tiempo, los sistemas están "en el aire" y son vulnerables.

Las operaciones informáticas profesionales son mucho más que la mera gestión de parches. Si solo operas con sistemas que pueden parchearse en cualquier momento y sin efectos secundarios, lo tienes muy fácil... pero la experiencia demuestra que esos entornos no existen fuera de las diapositivas de las presentaciones.

Así que también hay que pensar en proteger los sistemas que no se pueden parchear con prontitud o más.

En el caso de los sistemas que no están conectados a la red, un análisis de riesgos todavía podría salirse con la suya con el argumento de que las vulnerabilidades no parcheadas no pueden explotarse. Sin embargo, hoy en día casi todos los sistemas críticos para la empresa están conectados a la red.

Otra posibilidad es el parcheado virtual (virtual shielding), como el que ofrece, por ejemplo, Deep Security de Trend Micro. Se trata de blindar los agujeros de seguridad sin interferir en el sistema real, de modo que ya no puedan explotarse a través de la red, por ejemplo.

El propio sistema no está parcheado y, por tanto, puede ser vulnerable, pero la vulnerabilidad no puede explotarse.

Esto no debe tomarse como un "pase libre" para no volver a parchear los sistemas. Sin embargo, estas tecnologías permiten proteger los sistemas hasta la ventana de mantenimiento.

Esto es diferente para los sistemas para los que el fabricante ya no proporciona parches. A menudo, estas tecnologías son la única manera de utilizar los sistemas de forma segura. El funcionamiento profesional de las TI debe mirar al futuro.

No importa si se trata de sistemas críticos para la empresa, plantas industriales o "sólo" flujos de trabajo en el sector de los medios de comunicación. Hoy en día no basta con pensar en cómo hacer funcionar los sistemas de forma segura.

También hay que considerar el funcionamiento futuro, posiblemente sin el apoyo del fabricante. Las tecnologías necesarias están disponibles y han demostrado su eficacia. Integradas en el funcionamiento informático habitual, permiten un funcionamiento seguro:

2016 XVIOb hoy, cuando los parches están disponibles y pueden aplicarse rápidamente, o mañana, cuando las ventanas de mantenimiento están más espaciadas o quizá no haya ningún parche disponible.

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.