Un día cero (también conocido como día 0 ) es una vulnerabilidad de software de computadora desconocida para aquellos que deberían estar interesados en su mitigación (incluido el proveedor del software de destino). Hasta que se mitigue la vulnerabilidad, los piratas informáticos pueden explotarla para afectar negativamente a programas, datos, computadoras adicionales o una red. [1] Un exploit dirigido a un día cero se denomina exploit de día cero o ataque de día cero.
El término "día cero" se refería originalmente al número de días desde que se lanzó al público una nueva pieza de software, por lo que el "software de día cero" se obtenía pirateando la computadora de un desarrollador antes de su lanzamiento. Finalmente, el término se aplicó a las vulnerabilidades que permitieron esta piratería y a la cantidad de días que el proveedor ha tenido que corregirlas. [2] [3] [4] Una vez que el proveedor se entera de la vulnerabilidad, normalmente creará parches o recomendará soluciones para mitigarla.
Cuanto más recientemente el proveedor se haya dado cuenta de la vulnerabilidad, es más probable que no se haya desarrollado ninguna solución o mitigación. Una vez que se desarrolla una solución, la posibilidad de que el exploit tenga éxito disminuye a medida que más usuarios aplican la solución con el tiempo. Para los exploits de día cero, a menos que la vulnerabilidad se solucione inadvertidamente, como por ejemplo mediante una actualización no relacionada que solucione la vulnerabilidad, la probabilidad de que un usuario haya aplicado un parche proporcionado por el proveedor que solucione el problema es cero, por lo que el exploit permanecería disponible. Los ataques de día cero son una grave amenaza . [5]
Vectores de ataque
Los creadores de malware pueden aprovechar las vulnerabilidades de día cero a través de varios vectores de ataque diferentes . A veces, cuando los usuarios visitan sitios web fraudulentos , el código malicioso del sitio puede aprovechar las vulnerabilidades de los navegadores web . Los navegadores web son un objetivo particular para los delincuentes debido a su amplia distribución y uso. Los ciberdelincuentes , así como los proveedores internacionales de software espía como el NSO Group de Israel , [6] también pueden enviar archivos adjuntos de correo electrónico maliciosos a través de SMTP , que aprovechan las vulnerabilidades de la aplicación que abre el archivo adjunto. [7] Las vulnerabilidades que aprovechan los tipos de archivos comunes son numerosas y frecuentes, como lo demuestra su aparición cada vez mayor en bases de datos como US-CERT . Los delincuentes pueden diseñar malware para aprovechar estas vulnerabilidades de tipo de archivo para poner en peligro los sistemas atacados o robar datos confidenciales. [8]
Ventana de vulnerabilidad
El tiempo desde que un exploit de software se activa por primera vez hasta el momento en que el número de sistemas vulnerables se reduce a la insignificancia se conoce como la ventana de vulnerabilidad . [9] La línea de tiempo para cada vulnerabilidad de software está definida por los siguientes eventos principales:
- t 0 : la vulnerabilidad es descubierta (por cualquiera).
- t 1a : se publica un parche de seguridad (p. ej., el proveedor del software).
- t 1b : un exploit se activa.
- t 2 : La mayoría de los sistemas vulnerables han aplicado el parche.
Por tanto, la fórmula para la longitud de la ventana de vulnerabilidad es: t 2 - t 1b .
En esta formulación, siempre es cierto que t 0 ≤ t 1a y t 0 ≤ t 1b . Tenga en cuenta que t 0 no es lo mismo que el día cero . Por ejemplo, si un pirata informático es el primero en descubrir (en t 0 ) la vulnerabilidad, es posible que el proveedor no se entere hasta mucho más tarde (el día cero).
Para vulnerabilidades normales, t 1b > t 1a . Esto implica que el proveedor de software estaba al tanto de la vulnerabilidad y tuvo tiempo de publicar un parche de seguridad ( t 1a ) antes de que cualquier pirata informático pudiera crear un exploit viable ( t 1b ). Para los exploits de día cero, t 1b ≤ t 1a , de modo que el exploit se activa antes de que esté disponible un parche.
Al no revelar las vulnerabilidades conocidas, un proveedor de software espera alcanzar t 2 antes de que se alcance t 1b , evitando así cualquier vulnerabilidad. Sin embargo, el proveedor no tiene garantías de que los piratas informáticos no encuentren vulnerabilidades por sí mismos. Además, los piratas informáticos pueden analizar los parches de seguridad por sí mismos y, por lo tanto, descubrir las vulnerabilidades subyacentes y generar automáticamente exploits funcionales. [10] Estos exploits se pueden utilizar de forma eficaz hasta el momento t 2 .
En la práctica, la longitud de la ventana de vulnerabilidad varía entre sistemas, proveedores y vulnerabilidades individuales. A menudo se mide en días, con un informe de 2006 que estima el promedio en 28 días. [11]
Tiempo entre divulgaciones de vulnerabilidades
El tiempo entre la divulgación de vulnerabilidades (TBVD) para analistas individuales se propone como una medida significativa de la probabilidad de encontrar una vulnerabilidad de día cero dentro de un período de tiempo determinado. [12] En un documento de investigación, se recolectaron, integraron y categorizaron 69 646 vulnerabilidades de acuerdo con los analistas responsables de su divulgación, así como con los productos de software afectados. Luego, estos datos se analizaron y la evaluación demostró que era factible pronosticar el TBVD por producto. Las diferencias en TBVD entre productos son significativas, por ejemplo, abarcan diferencias de más del 500% entre los 20 productos de software más comunes en los datos. Las diferencias se acentúan aún más por el impacto diferente, de modo que, por ejemplo, el tiempo de trabajo medio entre la divulgación de vulnerabilidades con un impacto completo en la integridad (según lo define el Sistema de puntuación de vulnerabilidad común) para Linux (110 días) supera al de Windows 7 ( 6 días) por más de 18 veces.
Proteccion
La protección de día cero es la capacidad de brindar protección contra exploits de día cero. Dado que los ataques de día cero generalmente son desconocidos para el público, a menudo es difícil defenderse de ellos. Los ataques de día cero suelen ser eficaces contra redes "seguras" y pueden pasar desapercibidos incluso después de su lanzamiento. Por lo tanto, los usuarios de los llamados sistemas seguros también deben ejercer el sentido común y practicar hábitos informáticos seguros. [13]
Existen muchas técnicas para limitar la efectividad de las vulnerabilidades de corrupción de memoria de día cero, como los desbordamientos de búfer . Estos mecanismos de protección existen en sistemas operativos contemporáneos como macOS , Windows Vista y más allá (consulte también: Funciones de seguridad nuevas para Windows Vista ), Solaris , Linux , Unix y entornos similares a Unix; Windows XP Service Pack 2 incluye protección limitada contra vulnerabilidades de corrupción de memoria genérica [14] y las versiones anteriores incluyen incluso menos. También existe software de protección de escritorio y servidor para mitigar las vulnerabilidades de desbordamiento de búfer de día cero. Por lo general, estas tecnologías implican un análisis de terminación heurístico para detener los ataques antes de que causen algún daño. [15]
Se ha sugerido que una solución de este tipo puede estar fuera de alcance porque es algorítmicamente imposible en el caso general analizar cualquier código arbitrario para determinar si es malicioso, ya que dicho análisis se reduce al problema de detención sobre un autómata acotado lineal. , que es irresoluble. Sin embargo, es innecesario abordar el caso general (es decir, clasificar todos los programas en las categorías de maliciosos o no maliciosos) en la mayoría de las circunstancias para eliminar una amplia gama de comportamientos maliciosos. Es suficiente reconocer la seguridad de un conjunto limitado de programas (por ejemplo, aquellos que pueden acceder o modificar solo un subconjunto dado de recursos de la máquina) mientras rechaza tanto algunos programas seguros como todos los inseguros. Esto requiere que se mantenga la integridad de esos programas seguros, lo que puede resultar difícil frente a un exploit a nivel de kernel. [ cita requerida ]
El Equipo de Respuesta a Emergencias de Zeroday (ZERT) fue un grupo de ingenieros de software que trabajaron para lanzar parches de terceros para exploits de día cero.
Gusanos
Los gusanos de día cero aprovechan un ataque sorpresa cuando aún son desconocidos para los profesionales de la seguridad informática . La historia reciente muestra una tasa creciente de propagación de gusanos. Los gusanos bien diseñados pueden propagarse muy rápido con consecuencias devastadoras para Internet y otros sistemas. [ cita requerida ]
Ética
Existen diferentes ideologías relacionadas con la recopilación y el uso de información de vulnerabilidad de día cero. Muchos proveedores de seguridad informática realizan investigaciones sobre vulnerabilidades de día cero para comprender mejor la naturaleza de las vulnerabilidades y su explotación por parte de personas, gusanos informáticos y virus. Alternativamente, algunos proveedores compran vulnerabilidades para aumentar su capacidad de investigación. [se necesita aclaración ] Un ejemplo de un programa de este tipo es la Iniciativa Día Cero de TippingPoint . Si bien vender y comprar estas vulnerabilidades no es técnicamente ilegal en la mayor parte del mundo, existe mucha controversia sobre el método de divulgación. Una decisión alemana de 2006 de incluir el artículo 6 del Convenio sobre el delito cibernético y la Decisión marco de la UE sobre ataques contra los sistemas de información puede hacer que la venta o incluso la fabricación de vulnerabilidades sean ilegales. [ cita requerida ]
La mayoría de los programas formales siguen alguna forma de las pautas de divulgación de Rain Forest Puppy o las Pautas más recientes de OIS para la notificación y respuesta de vulnerabilidades de seguridad. [ cita requerida ] En general, estas reglas prohíben la divulgación pública de vulnerabilidades sin notificación al proveedor y sin tiempo suficiente para producir un parche.
Virus
Un virus de día cero (también conocido como malware de día cero o malware de próxima generación ) es un virus informático u otro malware previamente desconocido para el que aún no se dispone de firmas de software antivirus específicas . [dieciséis]
Tradicionalmente, el software antivirus se basaba en firmas para identificar el malware. Una firma de virus es un patrón o código único que se puede utilizar para detectar e identificar virus específicos. El antivirus escanea las firmas de archivos y las compara con una base de datos de códigos maliciosos conocidos. Si coinciden, el archivo se marca y se trata como una amenaza. La principal limitación de la detección basada en firmas es que solo es capaz de marcar malware ya conocido, lo que lo hace inútil contra ataques de día cero. [17] La mayoría de los programas antivirus modernos todavía utilizan firmas, pero también llevan a cabo otros tipos de análisis. [ cita requerida ]
Análisis de código
En el análisis de código , se analiza el código de máquina del archivo para ver si hay algo que parezca sospechoso. Normalmente, el malware tiene un comportamiento característico; El análisis de código intenta detectar si esto está presente en el código.
Aunque es útil, el análisis de código tiene limitaciones importantes. No siempre es fácil determinar qué se pretende hacer con una sección de código, especialmente si es muy compleja y se ha escrito deliberadamente con la intención de frustrar el análisis. Otra limitación del análisis de código es el tiempo y los recursos disponibles. En el competitivo mundo del software antivirus, siempre existe un equilibrio entre la eficacia del análisis y el tiempo de demora involucrado.
Un enfoque para superar las limitaciones del análisis de código es que el software antivirus ejecute secciones de código sospechosas en una caja de arena segura y observe su comportamiento. Esto puede ser órdenes de magnitud más rápido que analizar el mismo código, pero debe resistir (y detectar) los intentos del código para detectar la caja de arena.
Firmas genéricas
Las firmas genéricas son firmas que son específicas de cierto comportamiento en lugar de un elemento específico de malware. La mayoría de los nuevos programas maliciosos no son totalmente nuevos, sino que son una variación de programas maliciosos anteriores o contienen código de uno o más ejemplos anteriores de programas maliciosos. Por lo tanto, los resultados de análisis previos se pueden utilizar contra nuevos programas maliciosos.
Competitividad en la industria del software antivirus
En general, en la industria antivirus se acepta que la protección basada en firmas de la mayoría de los proveedores es idénticamente efectiva. Si hay una firma disponible para un elemento de malware, todos los productos (a menos que sean disfuncionales) deberían detectarla. Sin embargo, algunos proveedores son significativamente más rápidos que otros en darse cuenta de nuevos virus y / o actualizar las bases de datos de firmas de sus clientes para detectarlos. [18]
Existe una amplia gama de eficacia en términos de protección antivirus de día cero. La revista informática alemana c't descubrió que las tasas de detección de virus de día cero variaban del 20% al 68%. [19] Es principalmente en el área de rendimiento de virus de día cero donde los fabricantes compiten ahora.
Participación del gobierno de EE. UU.
Uso de exploits de día cero por parte de la NSA (2017)
A mediados de abril de 2017, los piratas informáticos conocidos como The Shadow Brokers (TSB), que supuestamente están vinculados al gobierno ruso, [20] [21] publicaron archivos de la NSA (inicialmente considerados como supuestos de la NSA, luego se confirmó a través de detalles internos y por el denunciante estadounidense Edward Snowden ) [22] que incluyen una serie de "exploits de día cero" dirigidos al software Microsoft Windows y una herramienta para penetrar en el proveedor de servicios de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT). [23] [24] [25] Ars Technica había informado sobre las reclamaciones de piratería de Shadow Brokers a mediados de enero de 2017, [26] y en abril, Shadow Brokers publicó las vulnerabilidades como prueba. [26]
Proceso de acciones de vulnerabilidades
El Proceso de Acciones de Vulnerabilidades , revelado públicamente por primera vez en 2016, es un proceso utilizado por el gobierno federal de los EE. UU. Para determinar caso por caso cómo debe tratar las vulnerabilidades de seguridad informática de día cero : si divulgarlas al público para ayudar mejorar la seguridad informática general o mantenerlos en secreto para uso ofensivo contra los adversarios del gobierno. [27] El proceso ha sido criticado por una serie de deficiencias, incluida la restricción por acuerdos de no divulgación, la falta de calificaciones de riesgo, el trato especial para la NSA y la falta de un compromiso total con la divulgación como opción predeterminada. [28]
Ver también
- Control de acceso
- Programa de recompensas por errores
- Análisis heurístico
- Mercado de exploits de día cero
- Control de acceso a la red
- Protección de acceso a la red
- Control de admisión a la red
- Protección definida por software
- Ataques dirigidos
- Refugio 7
- Sombrero blanco (seguridad informática)
- Zero Days , un documental sobre los 4 días cero en stuxnet
Referencias
- ^ Compare: "¿Qué es una vulnerabilidad de día cero?" . pctools . Symantec . Archivado desde el original el 4 de julio de 2017 . Consultado el 20 de enero de 2016 .
Una vulnerabilidad de día cero se refiere a un error explotable en el software que el proveedor desconoce. Los crackers pueden aprovechar este agujero de seguridad antes de que el proveedor se dé cuenta y se apresure a solucionarlo; este exploit se denomina ataque de día cero.
- ^ Kim Zetter (11 de noviembre de 2014). "Hacker Lexicon: ¿Qué es un día cero?" . Cableado .
- ^ Mark Maunder (16 de junio de 2014). "De dónde viene el término" Día Cero "" . Archivado desde el original el 31 de enero de 2018.
- ^ "Flash vulnerabilidades que causan problemas" . ESET . Archivado desde el original el 4 de marzo de 2016 . Consultado el 4 de marzo de 2016 .
- ^ El hombre que encontró Stuxnet - Sergey Ulasen en el centro de atención publicado el 2 de noviembre de 2011
- ^ Ahmed, Azam; Perlroth, Nicole (19 de junio de 2017). "Utilizando textos como señuelos, spyware gubernamental apunta a periodistas mexicanos y sus familias" . The New York Times . Archivado desde el original el 29 de diciembre de 2017 . Consultado el 19 de mayo de 2019 .
- ^ "SANS ve un aumento en los ataques basados en la Web de día cero" . Computerworld . Archivado desde el original el 22 de diciembre de 2008.
- ^ "Evaluación de riesgo residual por correo electrónico" (PDF) . Avinti, Inc . pag. 2.
- ^ Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (14 de mayo de 2007). Venter, Hein; Eloff, Mariki; Labuschagne, Les; Eloff, Jan; Solms, Rossouw von (eds.). Nuevos enfoques de seguridad, privacidad y confianza en entornos complejos . Federación Internacional de Procesamiento de Información IFIP. Springer EE. UU. págs. 373 –384. doi : 10.1007 / 978-0-387-72367-9_32 . ISBN 9780387723662.
- ^ Halvar, Flake (25 de octubre de 2016). "Comparación estructural de objetos ejecutables" . Notas de la conferencia en informática : 46. doi : 10.17877 / de290r-2007 .
- ^ Informe de amenazas a la seguridad en Internet . 10 . Symantec Corp . Septiembre de 2006. p. 12.
- ^ Johnson; Gorton; Lagerström; Ekstedt (2016). "Tiempo entre divulgaciones de vulnerabilidades: una medida de la vulnerabilidad del producto de software" . Computers & Security, volumen 62, 2016, páginas 278-295. doi : 10.1016 / j.cose.2016.08.004 . Consultado el 22 de junio de 2021 . Cite journal requiere
|journal=
( ayuda ) - ^ "¿Qué es un exploit de día cero? - Una introducción a los exploits de software de día cero y consejos para evitarlos en casa" . what-is-what.com .
- ^ "Cambios en la funcionalidad en Microsoft Windows XP Service Pack 2" .
- ^ "Mitigación de ataques de día 0 de inyección de XML a través de sistemas de detección basados en estrategias" (PDF) . Consultado el 29 de diciembre de 2013 .
- ^ "Cyberhawk - revisión de detección de amenazas de día cero" . Kickstartnews . Consultado el 29 de diciembre de 2013 .
- ^ "¿Qué son los ataques de día cero? | Detective de seguridad" . Detective de seguridad . 2018-08-30 . Consultado el 22 de noviembre de 2018 .
- ^ Robert Westervelt (abril de 2011). "Los proveedores de antivirus van más allá de los antivirus basados en firmas" . Consultado el 7 de enero de 2019 .
- ^ Goodin, Dan (21 de diciembre de 2008). "La protección antivirus empeora" . El canal . Consultado el 29 de diciembre de 2013 .
- ^ "La evidencia circunstancial y la sabiduría convencional indican la responsabilidad rusa. He aquí por qué eso es importante" . Twitter . 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
- ^ Price, Rob. "Edward Snowden: Rusia podría haber filtrado las supuestas armas cibernéticas de la NSA ni9G3r como una 'advertencia ' " . Business Insider . Consultado el 22 de agosto de 2016 .
- ^ Sam Biddle (19 de agosto de 2016). "La fuga de la NSA es real, confirman los documentos de Snowden" . La intercepción . Consultado el 15 de abril de 2017 .
- ^ Henry Farrell (15 de abril de 2017), "Los piratas informáticos acaban de arrojar un tesoro de datos de la NSA. Esto es lo que significa". , The Washington Post , consultado el 15 de abril de 2017
- ^ Baldwin, Clare (15 de abril de 2017). "Los piratas informáticos publican archivos que indican transferencias bancarias globales supervisadas por la NSA" . Reuters . Consultado el 15 de abril de 2017 .
- ^ Lawler, Richard. "La publicación de Shadow Brokers también sugiere que la NSA espió las transacciones bancarias" . Engadget . Consultado el 15 de abril de 2017 .
- ^ a b Dan Goodin (13 de enero de 2017). "Los corredores de la sombra con fugas de la NSA lanzan un cóctel Molotov antes de salir del escenario mundial" . Ars Technica . Consultado el 14 de enero de 2017 .
- ^ Newman, Lily Hay (15 de noviembre de 2017). "Los federales explican su escondite de errores de software, pero no borren las preocupaciones" . CON CABLE . Consultado el 16 de noviembre de 2017 .
- ^ McCarthy, Kieren (15 de noviembre de 2017). "Los cuatro problemas con el último reglamento del gobierno de Estados Unidos sobre divulgaciones de errores de seguridad" . El registro . Consultado el 16 de noviembre de 2017 .
Otras lecturas
- Messmer, Ellen (6 de abril de 2007). "¿Está muerto el antivirus de escritorio?" . PC World .
- Naraine, Ryan (1 de diciembre de 2006). "¡El antivirus está muerto, MUERTO, muerto!" . eWeek . Archivado desde el original el 7 de enero de 2010.
- Ejemplos de ataques de día cero
(Orden cronológico)
- "El ataque de día cero de PowerPoint puede ser un caso de espionaje corporativo" . FoxNews . 24 de julio de 2006.
- Naraine, Ryan (7 de diciembre de 2006). "Microsoft emite alerta de ataque de día cero de Word" . eWeek .
- "Los atacantes aprovechan el nuevo día cero en Word" . InfoWorld . 15 de febrero de 2007.