Día cero (informática)

Vulnerabilidad de software no reparada

Un día cero (también conocido como día 0 ) es una vulnerabilidad o agujero de seguridad en un sistema informático desconocido para sus propietarios, desarrolladores o cualquier persona capaz de mitigarlo . ^[1] Hasta que se solucione la vulnerabilidad, los actores de amenazas pueden explotarla en un exploit de día cero o ataque de día cero . ^[2]

El término "día cero" originalmente se refería al número de días transcurridos desde que se lanzó al público un nuevo software, por lo que el "software de día cero" se obtenía pirateando la computadora de un desarrollador antes de su lanzamiento. Finalmente, el término se aplicó a las vulnerabilidades que permitieron este pirateo y a la cantidad de días que el proveedor tuvo para solucionarlas. ^{[3] [4] [5]} Los proveedores que descubren la vulnerabilidad pueden crear parches o recomendar soluciones para mitigarla, aunque los usuarios deben implementar esa mitigación para eliminar la vulnerabilidad en sus sistemas. Los ataques de día cero son amenazas graves . ^[6]

Vectores de ataque

Los posibles vectores de ataque para una vulnerabilidad de día cero son idénticos a las vulnerabilidades conocidas y a las que tienen parches disponibles. Por ejemplo, cuando un usuario visita un sitio web fraudulento , el código malicioso del sitio puede aprovechar vulnerabilidades no parcheadas en un navegador web . Los navegadores web son un objetivo particular para los delincuentes debido a su amplia distribución y uso. Los ciberdelincuentes , así como los proveedores internacionales de software espía como el Grupo NSO de Israel , ^[7] también pueden enviar archivos adjuntos de correo electrónico maliciosos a través de SMTP , que explotan las vulnerabilidades en la aplicación que abre el archivo adjunto. ^[8] Los exploits que aprovechan tipos de archivos comunes son numerosos y frecuentes, como lo demuestra su aparición cada vez mayor en bases de datos como US-CERT . Los delincuentes pueden diseñar malware para aprovechar estos tipos de archivos para comprometer los sistemas atacados o robar datos confidenciales. ^[9]

Ventana de vulnerabilidad

El momento desde que un exploit de software se activa por primera vez hasta el momento en que el número de sistemas vulnerables se reduce a la insignificancia se conoce como ventana de vulnerabilidad . ^[10] La línea de tiempo para cada vulnerabilidad de software está definida por los siguientes eventos principales:

• t ₀ : La vulnerabilidad es descubierta (por cualquiera).
• t _1a : Se publica un parche de seguridad (por ejemplo, por el proveedor del software).
• t _1b : Se activa un exploit.
• t ₂ : La mayoría de los sistemas vulnerables han aplicado el parche.

Por tanto, la fórmula para la duración de la ventana de vulnerabilidad es: t ₂  −  t _1b .

En esta formulación, siempre es cierto que t ₀ ≤ t _1a y t ₀ ≤ t _1b . Tenga en cuenta que t ₀ no es lo mismo que el día cero . Por ejemplo, si un pirata informático es el primero en descubrir (en t ₀ ) la vulnerabilidad, es posible que el proveedor no se entere hasta mucho más tarde (el día cero).

Para vulnerabilidades normales, t _1b > t _1a . Esto implica que el proveedor de software era consciente de la vulnerabilidad y tuvo tiempo de publicar un parche de seguridad ( t _1a ) antes de que cualquier pirata informático pudiera crear un exploit viable ( t _1b ). Para exploits de día cero, t _1b ≤ t _1a , de modo que el exploit se active antes de que esté disponible un parche.

Al no revelar las vulnerabilidades conocidas, un proveedor de software espera alcanzar t ₂ antes de t _1b , evitando así cualquier vulnerabilidad. Sin embargo, el proveedor no tiene garantías de que los piratas informáticos no encuentren vulnerabilidades por sí solos. Además, los piratas informáticos pueden analizar ellos mismos los parches de seguridad y, de ese modo, descubrir las vulnerabilidades subyacentes y generar automáticamente exploits que funcionen. ^[11] Estos exploits se pueden utilizar eficazmente hasta el momento t ₂ .

En la práctica, la duración de la ventana de vulnerabilidad varía entre sistemas, proveedores y vulnerabilidades individuales. A menudo se mide en días; un informe de 2006 estima el promedio en 28 días. ^[12]

Proteccion

La protección de día cero es la capacidad de brindar protección contra ataques de día cero. Dado que los ataques de día cero son generalmente desconocidos para el público, a menudo resulta difícil defenderse de ellos. Los ataques de día cero suelen ser eficaces incluso contra redes "seguras" y pueden pasar desapercibidos incluso después de su lanzamiento. Por lo tanto, los usuarios de los llamados sistemas seguros también deben ejercer el sentido común y practicar hábitos informáticos seguros. ^[13]

Existen muchas técnicas para limitar la efectividad de las vulnerabilidades de corrupción de memoria de día cero, como los desbordamientos del búfer . Estos mecanismos de protección existen en sistemas operativos contemporáneos como macOS , Windows Vista y posteriores (consulte Seguridad y características de protección nuevas en Windows Vista ) , Solaris , Linux , Unix y entornos similares a Unix; Windows XP Service Pack 2 incluye protección limitada contra vulnerabilidades genéricas de corrupción de memoria ^[14] y las versiones anteriores incluyen incluso menos. También existe software de protección de servidores y escritorios para mitigar las vulnerabilidades de desbordamiento del búfer de día cero. Normalmente, estas tecnologías implican un análisis de terminación heurístico para detener los ataques antes de que causen algún daño. ^[15]

Se ha sugerido que una solución de este tipo puede estar fuera de alcance porque, en el caso general, es algorítmicamente imposible analizar cualquier código arbitrario para determinar si es malicioso: tal análisis se reduce al problema de detener un autómata lineal limitado. , que es irresoluble. Sin embargo, en la mayoría de las circunstancias no es necesario abordar el caso general (es decir, clasificar todos los programas en categorías de maliciosos y no maliciosos) para eliminar una amplia gama de comportamientos maliciosos. Es suficiente reconocer la seguridad de un conjunto limitado de programas (por ejemplo, aquellos que pueden acceder o modificar sólo un subconjunto determinado de recursos de la máquina) y rechazar tanto algunos programas seguros como todos los inseguros. Esto requiere mantener la integridad de esos programas seguros, lo que puede resultar difícil ante un exploit a nivel de kernel. ^{[ cita necesaria ]}

El Equipo de Respuesta a Emergencias de Día Cero (ZERT) era un grupo de ingenieros de software que trabajaban para lanzar parches de terceros para exploits de día cero.

gusanos

Los gusanos informáticos se interceptan basándose en el conocimiento sobre cómo infectan a sus anfitriones. Los gusanos de día cero aprovechan un ataque sorpresa cuando aún son desconocidos para los profesionales de la seguridad informática . La historia reciente muestra una tasa creciente de propagación de gusanos. ^[16] Los nuevos gusanos son difíciles de detectar porque se desconocen sus firmas de infección y los gusanos bien diseñados pueden propagarse muy rápidamente por Internet , a veces con consecuencias devastadoras. ^[17]

Ética

Existen diferentes ideologías relacionadas con la recopilación y el uso de información sobre vulnerabilidades de día cero. Muchos proveedores de seguridad informática realizan investigaciones sobre vulnerabilidades de día cero para comprender mejor la naturaleza de las vulnerabilidades y su explotación por parte de individuos, gusanos informáticos y virus. Alternativamente, algunos proveedores compran información sobre vulnerabilidades para aumentar su capacidad de investigación. Un ejemplo de un programa de este tipo es la Iniciativa Día Cero de TippingPoint .

Si bien vender y comprar información sobre vulnerabilidades no es técnicamente ilegal en la mayor parte del mundo, existe mucha controversia sobre el método de divulgación. Una decisión alemana de 2006 de incluir el artículo 6 de la Convención sobre la Ciberdelincuencia y la Decisión Marco de la UE sobre Ataques contra Sistemas de Información puede hacer que la venta o incluso la fabricación de vulnerabilidades sea ilegal. ^[18]

La mayoría de los programas formales siguen algún tipo de pautas de divulgación de Rain Forest Puppy o las pautas más recientes de OIS para informes y respuesta a vulnerabilidades de seguridad. ^{[ cita necesaria ]} En general, estas reglas prohíben la divulgación pública de vulnerabilidades sin notificar al proveedor y sin tiempo adecuado para producir un parche.

Virus

Un virus de día cero (también conocido como malware de día cero o malware de próxima generación ) es un virus informático u otro malware previamente desconocido para el cual aún no hay firmas de software antivirus específicas disponibles. ^[19]

Tradicionalmente, el software antivirus se basaba en firmas para identificar malware. Una firma de virus es un patrón o código único que se puede utilizar para detectar e identificar virus específicos. El antivirus escanea las firmas de los archivos y las compara con una base de datos de códigos maliciosos conocidos. Si coinciden, el archivo se marca y se trata como una amenaza. La principal limitación de la detección basada en firmas es que sólo es capaz de señalar malware ya conocido, lo que la hace inútil contra ataques de día cero. ^[20] La mayoría de los programas antivirus modernos todavía utilizan firmas, pero también realizan otros tipos de análisis. ^{[ cita necesaria ]}

Análisis de código

En el análisis de código , se analiza el código de máquina del archivo para ver si hay algo que parezca sospechoso. Normalmente, el malware tiene un comportamiento característico; El análisis de código intenta detectar si esto está presente en el código.

Aunque útil, el análisis de código tiene limitaciones importantes. No siempre es fácil determinar qué pretende hacer una sección de código, especialmente si es muy compleja y ha sido escrita deliberadamente con la intención de frustrar el análisis. Otra limitación del análisis de código es el tiempo y los recursos disponibles. En el competitivo mundo del software antivirus, siempre existe un equilibrio entre la efectividad del análisis y el retraso involucrado.

Una forma de superar las limitaciones del análisis de código es que el software antivirus ejecute secciones sospechosas de código en un entorno limitado seguro y observe su comportamiento. Esto puede ser mucho más rápido que analizar el mismo código, pero debe resistir (y detectar) los intentos del código de detectar la zona de pruebas.

Firmas genéricas

Las firmas genéricas son firmas que son específicas de cierto comportamiento en lugar de un elemento específico de malware. La mayoría del malware nuevo no es totalmente novedoso, sino que es una variación del malware anterior o contiene código de uno o más ejemplos anteriores de malware. De esta forma, los resultados de análisis previos se pueden utilizar contra nuevo malware.

Competitividad en la industria del software antivirus

En general, en la industria antivirus se acepta que la protección basada en firmas de la mayoría de los proveedores es idénticamente efectiva. Si hay una firma disponible para un elemento de malware, entonces todos los productos (a menos que sean disfuncionales) deberían detectarla. Sin embargo, algunos proveedores son significativamente más rápidos que otros a la hora de detectar nuevos virus y/o actualizar las bases de datos de firmas de sus clientes para detectarlos. ^[21]

Existe un amplio rango de efectividad en términos de protección antivirus de día cero. La revista informática alemana c't encontró que las tasas de detección de virus de día cero oscilaban entre el 20% y el 68%. ^[22] Es principalmente en el área del desempeño de virus de día cero donde los fabricantes compiten ahora.

Participación del gobierno de EE. UU.

Uso de exploits de día cero por parte de la NSA (2017)

A mediados de abril de 2017, los piratas informáticos conocidos como The Shadow Brokers (TSB), supuestamente vinculados al gobierno ruso, ^{[23] [24]} publicaron archivos de la NSA (inicialmente considerados como supuestamente de la NSA, confirmado más tarde). a través de detalles internos y por el denunciante estadounidense Edward Snowden ) ^[25] que incluyen una serie de 'exploits de día cero' dirigidos al software de Microsoft Windows y una herramienta para penetrar al proveedor de servicios de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT). ^{[26] [27] [28]} Ars Technica había informado sobre los reclamos de piratería de Shadow Brokers a mediados de enero de 2017, ^[29] y en abril Shadow Brokers publicó los exploits como prueba. ^[29]

Vulnerabilidades Proceso de Acciones

El Proceso de Equidad de Vulnerabilidades , revelado públicamente por primera vez en 2016, es un proceso utilizado por el gobierno federal de EE. UU. para determinar caso por caso cómo debe tratar las vulnerabilidades de seguridad informática de día cero : si revelarlas al público para ayudar. mejorar la seguridad informática general o mantenerlas en secreto para uso ofensivo contra los adversarios del gobierno. ^[30] El proceso ha sido criticado por una serie de deficiencias, incluida la restricción impuesta por acuerdos de confidencialidad, la falta de calificaciones de riesgo, un trato especial para la NSA y un compromiso poco pleno con la divulgación como opción predeterminada. ^[31]

Ver también

• Control de acceso
• Programa de recompensas por errores
• Explotación como servicio
• Análisis heurístico
• Mercado de exploits de día cero
• Control de acceso a la red
• Protección de acceso a la red
• Control de admisión a la red
• Protección definida por software
• estuxnet
• Ataques dirigidos
• Bóveda 7
• Sombrero blanco (seguridad informática)
• Zero Days , un documental sobre los 4 días cero en stuxnet

Referencias

1. Guo, Mingyu; Wang, Guanhua; Hata, Hideaki; Babar, Muhammad Ali (1 de julio de 2021). "Mercados que maximizan los ingresos para exploits de día cero". Agentes Autónomos y Sistemas Multiagente . 35 (2): 36. arXiv : 2006.14184 . doi :10.1007/s10458-021-09522-w. ISSN  1387-2532. S2CID  254225904.
2. Comparar: "¿Qué es una vulnerabilidad de día cero?". herramientas de pc . Symantec . Archivado desde el original el 4 de julio de 2017 . Consultado el 20 de enero de 2016 . Una vulnerabilidad de día cero se refiere a un error explotable en el software que el proveedor desconoce. Este agujero de seguridad puede ser aprovechado por piratas informáticos antes de que el proveedor se dé cuenta y se apresure a solucionarlo; este exploit se denomina ataque de día cero.
3. Zetter, Kim (11 de noviembre de 2014). "Hacker Lexicon: ¿Qué es un día cero?". Cableado .
4. "De dónde viene el término" Día Cero "- mmmm". 2018-01-31. Archivado desde el original el 31 de enero de 2018 . Consultado el 5 de septiembre de 2021 .
5. "Vulnerabilidades de Flash que causan problemas". ESET . Archivado desde el original el 4 de marzo de 2016 . Consultado el 4 de marzo de 2016 .
6. El hombre que encontró Stuxnet - Sergey Ulasen en el centro de atención publicado el 2 de noviembre de 2011
7. Ahmed, Azam; Perlroth, Nicole (19 de junio de 2017). "Utilizando textos como señuelo, el software espía del gobierno se dirige a periodistas mexicanos y sus familias". Los New York Times . Archivado desde el original el 29 de diciembre de 2017 . Consultado el 19 de mayo de 2019 .
8. "SANS ve un aumento en los ataques web de día cero". Mundo de la informática . Archivado desde el original el 22 de diciembre de 2008.
9. "Evaluación de riesgos residuales por correo electrónico" (PDF) . Avinti, Inc. pag. 2. Archivado desde el original (PDF) el 19 de agosto de 2020 . Consultado el 17 de mayo de 2015 .
10. Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (14 de mayo de 2007). "FirePatch: difusión segura y en plazos críticos de parches de software". En Venter, Hein; Eloff, Mariki; Labuschagne, Les; Eloff, enero; Solms, Rossouw von (eds.). Nuevos enfoques de seguridad, privacidad y confianza en entornos complejos . IFIP Federación Internacional para el Procesamiento de la Información. vol. 232. Springer Estados Unidos. págs. 373–384. doi :10.1007/978-0-387-72367-9_32. ISBN 9780387723662.
11. Halvar, Flake (julio de 2004). "Comparación estructural de objetos ejecutables". En Flegel, U.; Meier, M. (eds.). Actas del taller internacional de IG sobre detección de intrusiones y evaluación de vulnerabilidades y malware . Apuntes de conferencias en informática. vol. P-46. Dortmund, Alemania: Köllen Verlag. pag. 161-174. doi :10.17877/de290r-2007. ISBN 3-88579-375-X.
12. Informe sobre amenazas a la seguridad en Internet . vol. 10. Symantec Corp. Septiembre de 2006. pág. 12.
13. "¿Qué es un exploit de día cero? - Una introducción a los exploits de software de día cero y consejos para evitarlos en casa". qué-es-qué.com .
14. "Cambios en la funcionalidad del Service Pack 2 de Microsoft Windows XP". Microsoft .
15. "Mitigación de los ataques de día 0 de inyección XML mediante sistemas de detección basados ​​en estrategias" (PDF) . Consultado el 29 de diciembre de 2013 .
16. "2021 ha batido el récord de ataques de piratería de día cero". Revisión de tecnología del MIT . Consultado el 1 de mayo de 2022 .
17. Guizani, Mohsen; Rayes, Ammar; Kan, Bilal; Al-Fuqaha, Ala (26 de enero de 2010). Modelado y simulación de redes: una perspectiva práctica. John Wiley e hijos. pag. 46.ISBN _ 978-0-470-51520-4.
18. Sieber, Ulrich (2006). "Cooperación internacional contra el uso terrorista de Internet". En la Revista Internacional de Detroit Penal . 77 (3–4): 13-14.
19. "Cyberhawk: revisión de detección de amenazas de día cero". Noticias de inicio . Consultado el 29 de diciembre de 2013 .
20. "¿Qué son los ataques de día cero? | Detective de seguridad". Detective de seguridad . 2018-08-30 . Consultado el 22 de noviembre de 2018 .
21. Robert Westervelt (abril de 2011). "Los proveedores de antivirus van más allá de los antivirus basados ​​en firmas" . Consultado el 7 de enero de 2019 .
22. Goodin, Dan (21 de diciembre de 2008). "La protección antivirus empeora". El canal . Consultado el 29 de diciembre de 2013 .
23. "La evidencia circunstancial y la sabiduría convencional indican la responsabilidad rusa. He aquí por qué esto es importante". Gorjeo . 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
24. Precio, Rob. "Edward Snowden: Rusia podría haber filtrado las supuestas armas cibernéticas de la NSA ni9G3r como 'advertencia'". Business Insider . Archivado desde el original el 21 de mayo de 2017 . Consultado el 22 de agosto de 2016 .
25. Sam Biddle (19 de agosto de 2016). "La fuga de la NSA es real, lo confirman los documentos de Snowden". La Intercepción . Consultado el 15 de abril de 2017 .
26. Henry Farrell (15 de abril de 2017), "Los piratas informáticos acaban de deshacerse de un tesoro de datos de la NSA. Esto es lo que significa.", The Washington Post , consultado el 15 de abril de 2017
27. Baldwin, Clare (15 de abril de 2017). "Los piratas informáticos publican archivos que indican que la NSA monitoreó las transferencias bancarias globales". Reuters . Consultado el 15 de abril de 2017 .
28. Lawler, Richard (15 de abril de 2017). "El lanzamiento de Shadow Brokers también sugiere que la NSA espió las transacciones bancarias". Engadget . Consultado el 15 de abril de 2017 .
29. Dan Goodin (13 de enero de 2017). "Shadow Brokers, que filtra la NSA, lanza un cóctel Molotov antes de salir del escenario mundial". Ars Técnica . Consultado el 14 de enero de 2017 .
30. Newman, Lily Hay (15 de noviembre de 2017). "Los federales explican su alijo de errores de software, pero no borran las preocupaciones". CABLEADO . Consultado el 16 de noviembre de 2017 .
31. McCarthy, Kieren (15 de noviembre de 2017). "Los cuatro problemas con el último libro de reglas del gobierno de EE. UU. sobre divulgación de errores de seguridad". El registro . Consultado el 16 de noviembre de 2017 .

Otras lecturas

• Messmer, Ellen (6 de abril de 2007). "¿Está muerto el antivirus de escritorio?". Mundo PC . Archivado desde el original el 24 de abril de 2016 . Consultado el 24 de julio de 2015 .
• Naraine, Ryan (1 de diciembre de 2006). "¡El antivirus está muerto, MUERTO, muerto!". Semana electrónica . Archivado desde el original el 7 de enero de 2010.

Ejemplos de ataques de día cero

(Orden cronológico)

• "El ataque de día cero de PowerPoint puede ser un caso de espionaje corporativo". Fox News . 24 de julio de 2006.
• Naraine, Ryan (7 de diciembre de 2006). "Microsoft emite alerta de ataque de día cero de Word". Semana electrónica .
• "Los atacantes aprovechan el nuevo día cero en Word". InfoMundo . 15 de febrero de 2007.